Formação Governance, Risk, and Compliance (GRC)

Prévia do material em texto

Curso preparatório oficial para os exames da formação
Governance, Risk and Compliance (GRC) da ITCERTS
Curso preparatório oficial para o exame da certificação
IT Governance Foundation (ISO/IEC 38500) da ITCERTS
Agenda
1 Governança Corporativa
2 Governança Corporativa no Brasil
3 Governança de TI
4 Benefícios da Governança de TI
5 Norma ISO/IEC 38500 – Governança Corporativa de TI
6 Frameworks, conjuntos de boas práticas e normas
3
Governança Corporativa
4
É o conjunto de boas práticas que regulam a maneira como uma empresa deve ser dirigida e controlada a
fim de proteger as partes interessadas.
O objetivo da governança corporativa é criar mecanismos eficientes de controle, monitoramento e gestão
para garantir que as decisões tomadas pelos executivos estejam alinhadas aos interesses dos proprietários ou
dos acionistas da empresa.
Governança Corporativa
5
A adoção da governança corporativa tem por objetivo:
■ proporcionar maior transparência na prestação de contas, equidade e responsabilidade corporativa;
■ ajudar dirigentes a manter conformidade com regulações, leis e contratos pelos quais poderiam ser
pessoalmente responsabilizados;
■ diminuir o risco de não cumprimento de obrigações corporativas e a probabilidade de ocorrência de
fraudes.
Governança Corporativa
6
O movimento de governança corporativa teve início nos EUA no final da década de 90 após uma série de
escândalos financeiros e contábeis envolvendo grandes empresas como Enron, Worldcom e Tyco que
abalaram a confiança dos investidores e contribuíram para a pressão descendente nos preços das ações no
mundo todo e principalmente nos EUA.
Esses escândalos fizeram com o que o governo dos EUA interviesse e promulgasse a Lei Sarbanes-Oxley com o
objetivo de recuperar a credibilidade do mercado de capitais, aumentando a responsabilidade e a exigência de
transparência na prestação de contas por parte dos executivos.
Esta lei também ampliou substancialmente as penalidades associadas às fraudes e crimes de colarinho
branco.
Governança Corporativa no Brasil
7
No Brasil, o movimento de governança corporativa ganhou força devido à aceleração dos processos de
globalização, privatização e desregulamentação da economia.
Outro impulso à adoção de práticas de governança corporativa no Brasil foi dado pela Bolsa de Valores de São
Paulo, com a criação segmentos especiais de listagem destinados a empresas com padrões superiores de
governança corporativa.
Governança de TI
8
Governança de TI pode ser definida como um conjunto de estruturas e processos que tem por objetivo
garantir que TI suporte adequadamente os objetivos e as estratégias organizacionais.
O objetivo da governança de TI é avaliar e direcionar o uso eficaz de TI.
O conceito de governança de TI surgiu devido a:
■ crescente importância da Tecnologia da Informação;
■ necessidade de se promover o seu uso eficaz, eficiente e aceitável dentro das organizações.
Benefícios da Governança de TI
9
A adoção de governança de TI tem por objetivo:
■ aumentar a confiança da alta administração na tomada de decisões;
■ garantir que os processos e serviços mais críticos de TI sejam monitorados;
■ garantir que falhas ou incidentes de segurança da informação sejam prontamente endereçados e resolvidos,
■ aumentando a satisfação dos usuários e clientes;
■ garantir que os investimentos em TI estejam alinhados com os objetivos estratégicos da empresa e TI seja
capaz de entregar os benefícios prometidos dentro de um custo aceitável;
■ garantir que os riscos significativos de TI sejam entendidos e gerenciados de forma correta, a fim de
assegurar a proteção dos ativos de TI, a recuperação e a manutenibilidade da continuidade da operação dos
serviços em caso de incidentes.
Benefícios da Governança de TI
10
A boa governança de TI ajuda os dirigentes a garantir que o uso da TI contribua positivamente para o
desempenho da organização, por meio de:
■ maior alinhamento da TI com as necessidades da empresa;
■ implementação e utilização adequadas dos ativos de TI;
■ continuidade do negócio e sustentabilidade;
■ alocação eficiente de recursos;
■ boas práticas nos relacionamentos com as partes interessadas; e
■ realização efetiva dos benefícios esperados dos investimentos em TI.
Norma ISO/IEC 38500 – Governança de TI
11
O objetivo da norma ISO/IEC 38500 é promover o uso eficaz, eficiente e aceitável da TI dentro da
organização.
A norma estabelece um vocabulário, princípios e um modelo para uma boa governança da TI.
A norma tem por objetivo orientar as estruturas de governança no que diz respeito ao uso da TI dentro da
organização.
A norma fornece princípios, definições e um modelo para estruturas de governança utilizarem ao avaliar,
direcionar e monitorar o uso de tecnologia da informação (TI) em suas organizações.
Norma ISO/IEC 38500 – Governança de TI
12
A norma se aplica a todas as organizações, incluindo empresas públicas e privadas, entidades
governamentais e organizações sem fins lucrativos, independentemente do tamanho e da extensão do uso da
TI.
A adoção da norma ISO/IEC 38500 tem por objetivo assegurar às partes interessadas que a organização
adota uma estrutura de governança para avaliar, direcionar e monitorar o uso da TI.
A adoção da norma ISO/IEC 38500 minimiza o risco de não cumprimento de obrigações corporativas por
meio de um modelo de ciclo de ações e aplicação de um conjunto de princípios e ajuda os dirigentes a
manterem conformidade com regulações, leis e contratos pelos quais podem ser pessoalmente
responsabilizados.
Norma ISO/IEC 38500 – Governança de TI
13
Termos e definições
Aceitável
Que atenda às expectativas das partes interessadas.
Dirigente
Membro da mais alta direção de uma organização.
Estrutura de governança
Pessoa ou grupo de pessoas responsabilizadas pelo desempenho e conformidade da organização.
Governança
Sistema de direção e controle.
Norma ISO/IEC 38500 – Governança de TI
14
Termos e definições
Gerenciamento
O sistema de controle e processos necessário para alcançar os objetivos estratégicos estabelecidos pela
direção da organização.
Governança Corporativa
O sistema pelo qual as organizações são dirigidas e controladas.
Governança de TI
O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. (A Governança da TI é um componente
ou um subconjunto da governança corporativa).
Norma ISO/IEC 38500 – Governança de TI
15
Termos e definições
Parte interessada
Qualquer indivíduo, grupo ou organização que possa afetar, ser afetado por, ou perceber a si mesmo como
afetado por uma decisão ou atividade.
Politica
Intenções e direção de uma organização, formalmente expressa pela sua estrutura de governança.
Responsabilidade
Obrigação de agir e tomar decisões para alcançar os resultados necessários.
Risco
Efeito da incerteza nos objetivos.
Norma ISO/IEC 38500 – Governança de TI
16
Princípios para uma boa Governança de TI
Os princípios expressam o comportamento indicado para orientar a tomada de decisões.
Convém que as estruturas de governança requeiram que esses princípios sejam aplicados.
Princípios
Os princípios expressam o comportamento preferido para orientar uma tomada de decisão.
■ Principio 1: Responsabilidade
Os indivíduos e grupos dentro da organização compreendem e aceitam suas responsabilidades com respeito
ao fornecimento e demanda de TI.
Norma ISO/IEC 38500 – Governança de TI
17
Princípios para uma boa Governança de TI
Princípios
■ Principio 2: Estratégia
A estratégia de negócio da organização leva em conta as capacidades atuais e futuras de TI; os planos
estratégicos para TI satisfazem as necessidades atuais e continuas da estratégia de negócio da organização.
■ Principio 3: Aquisição
As aquisições de TI são feitas por razões válidas, com base em análise apropriada e contínua, com tomada de
decisão clara e transparente. Existe um equilibrio apropriado entre benefícios, oportunidade, custos e riscos, de
curto e longo prazo.
■ Principio 4: Desempenho
A TI é adequada ao propósitode apoiar a organização, fornecendo serviços, níveis de serviço e qualidade de
serviço, necessários para atender aos requisitos atuais e futuros do negócio.
Norma ISO/IEC 38500 – Governança de TI
18
Princípios para uma boa Governança de TI
Princípios
■ Principio 5: Conformidade
A TI cumpre com toda a legislação e regulamentos obrigatórios. As políticas são claramente definidas,
implementadas e fiscalizadas.
■ Principio 6: Comportamento Humano
As políticas, práticas e decisões de TI demonstram respeito pelo comportamento humano, incluindo as
necessidades atuais e futuras de todas as pessoas no processo.
Norma ISO/IEC 38500 – Governança de TI
19
Modelo Avaliar-Dirigir-Monitorar para a governança de TI
Convém que os dirigentes governem TI através de 3 tarefas principais:
■ a) Avaliar o uso atual e futuro da TI (Avaliar);
■ b) Dirigir, preparar e implementar estratégias e políticas para garantir que o uso da TI atenda aos objetivos
do negócio (Dirigir);
■ c) Monitorar a conformidade com as políticas e o desempenho em relação às estratégias (Monitorar).
Autoridade para aspectos específicos da TI pode ser delegada aos gerentes da organização. No entanto, a
responsabilização pelo uso efetivo, eficiente e aceitável da TI por uma organização permanece na estrutura de
governança e não pode ser delegada.
Norma ISO/IEC 38500 – Governança de TI
20
Modelo para governança de TI
Norma ISO/IEC 38500 – Governança de TI
21
Modelo para governança de TI
Avaliar
Convém que as estrututras de governança examinem e avaliem o uso atual e futuro da TI, incluindo planos,
propostas e arranjos de fornecimento (internos, externos ou ambos).
Ao avaliar o uso da TI, convém que as estruturas de governança considerem as pressões externas ou internas
que atuam sobre a organização, como mudanças tecnológicas, tendências econômicas e sociais, obrigações
regulatórias, expectativas legítimas das partes interessadas e influências políticas.
Convém que as estruturas de governança também levem em consideração as necessidades atuais e futuras
da empresa.
Norma ISO/IEC 38500 – Governança de TI
22
Modelo para governança de TI
Dirigir
Convém que as estruturas de governança atribuam responsabilidade e orientem a preparação e a
implementação das estratégias e políticas.
Convém que as estratégias estabeleçam a direção dos investimentos em TI. Convém que as políticas
estabeleçam comportamentos sólidos quanto ao uso da TI.
Convém que as estruturas de governança encorajem uma cultura de boa governança da TI em suas
organizações, exigindo que os gerentes forneçam informações em tempo adequado, cumprindo as
orientações e em conformidade com os seis princípios da boa governança.
Norma ISO/IEC 38500 – Governança de TI
23
Modelo para governança de TI
Monitorar
Convém que as estruturas de governança monitorem, por meio de sistemas de medição apropriados, o
desempenho da TI. Convém que as estruturas de governança se assegurem de que o desempenho está de
acordo com as estratégias, particularmente no que se refere aos objetivos de negócios.
Convém que as estruturas de governança também garantam que a TI esteja em conformidade com as
obrigações externas e práticas internas de trabalho.
Frameworks, conjuntos de boas práticas e 
normas
24
A fim de garantir o cumprimento das obrigações regulamentares e assegurar que TI suporte os objetivos e as
estratégias do negócio eficazmente, as organizações tem utilizado cada vez mais metodologias, normas e
conjuntos de boas práticas consolidados no mercado:
■ ITIL®
■ COBIT
■ COSO
■ TOGAF®
■ PMBOK®
■ PRINCE2®
■ CMMI
■ ISO/IEC 20000
■ Outras normas importantes
Frameworks, conjuntos de boas práticas e 
normas
25
ITIL®
ITIL® (Information Technology Infrastructure Library) é um conjunto de publicações de melhores práticas para
o Gerenciamento de Serviço de TI.
É um modelo não proprietário que pode ser utilizado por qualquer organização, independente de tecnologia e
fornecedor.
Não prescritivo, ou seja, pode ser adotado e adaptado por qualquer organização, pública ou privada,
independente do seu tamanho.
ITIL® é baseado nas melhores práticas que já se mostraram eficientes e que são utilizadas com sucesso por
muitas Organizações.
Atualmente na versão 4 (ITIL 4).
Frameworks, conjuntos de boas práticas e 
normas
26
ITIL®
Escopo da estrutura ITIL®
Uma fonte de melhores práticas em Gerenciamento de Serviço.
Usado para estabelecer e melhorar as capacidades no Gerenciamento de Serviço.
ITIL® NÃO é um padrão; Já a ISO/lEC 20000, por exemplo, apresenta um padrão formal e universal para
Organizações que buscam ter as capacidades do Gerenciamento de Serviço auditadas e certificadas.
ITIL® oferece insumos para aderência à ISO/IEC 20000.
Frameworks, conjuntos de boas práticas e 
normas
27
ITIL®
Componentes da Biblioteca ITIL® (ITIL® Library)
Núcleo do ITIL® (ITIL® Core)
Guia de melhores práticas aplicável a todos os tipos de Organizações que provêm serviços ao negócio.
A arquitetura do ITIL® Core conduz através de um sistema de valor de serviço (SVS) através dos livros:
■ ITIL Specialist Create, Deliver and Support;
■ ITIL Specialist Drive Stakeholder Value;
■ ITIL Specialist High-velocity IT;
■ ITIL Strategist Direct, Plan and Improve;
■ ITIL Leader Digital and IT Strategy.
Frameworks, conjuntos de boas práticas e 
normas
28
COBIT
O COBIT é um framework (estrutura de controle) amplamente aceito para a governança de TI.
A estrutura de controle do COBIT provê um modelo de referência e uma linguagem comum à todos os
envolvidos, alinhando os objetivos de TI aos objetivos do negócio.
O COBIT funciona como um guarda-chuva identificando as necessidades de negócio e, então, justificando os
objetivos que necessitam ser alcançados e relacionando-os com outros padrões e conjuntos de boas práticas,
como CMMI, IS0 9000 e IS0/IEC 27002 a fim de alinhá-los de acordo com a necessidade da organização.
Na prática, o COBIT ajuda as organizações a reduzir os riscos de TI, aumentar o valor obtido da TI e atender às
regulamentações de controle.
Atualmente na versão COBIT 2019.
Frameworks, conjuntos de boas práticas e 
normas
29
COSO (​​​​​​​​​​​​​​​​​​​​​​​​​The Committee of Sponsoring Organizations of the Treadway Commission)
O COSO é uma estrutura de controles internos utilizada para garantir a eficácia e eficiência das operações, a
confiabilidade das informações financeiras e a conformidade com as leis e regulamentações.
Frameworks, conjuntos de boas práticas e 
normas
30
TOGAF® (The Open Group Architecture Framework)
O TOGAF® é um modelo conceitual de arquitetura corporativa, cujo objetivo é fornecer uma abordagem
global para o desenho, o planejamento, a implementação e a governança de uma arquitetura corporativa.
Atualmente na versão 9.2.
Frameworks, conjuntos de boas práticas e 
normas
31
PMBOK®
PMBOK® é um guia de boas práticas que fornece uma visão geral sobre o gerenciamento de projetos. Fornece
diversos processos, ferramentas e técnicas. Atualmente na 7ª edição.
Áreas de conhecimento:
■ Gerenciamento das aquisições do projeto;
■ Gerenciamento da qualidade do projeto;
■ Gerenciamento dos riscos dos projetos;
■ Gerenciamento do escopo do projeto;
■ Gerenciamento dos custos do projeto;
■ Gerenciamento da integração do projeto;
■ Gerenciamento das comunicações do projeto;
■ Gerenciamento dos recursos do projeto;
■ Gerenciamento do cronograma do projeto;
■ Gerenciamento das partes interessadas do projeto.
Frameworks, conjuntos de boas práticas e 
normas
32
PRINCE2®
O PRINCE2® é um método de gerenciamento de projetos amplamente utilizado no mundo todo, cujo objetivo
é fornecer um conjunto de atividades necessárias para a direção, gerenciamento e entrega do projeto com
sucesso.
O propósito do PRINCE2® é fornecer um método de gerenciamento de projetos que possa ser aplicado a
qualquer tipo de projeto, tamanho, organização ou fatores culturais envolvidos.
O PRINCE2® oferece um caminho completo para se tirar um projeto do papel, desenvolvê-lo eentregá-lo em
tempo hábil e dentro do orçamento.
Atualmente na versão 2017 (Managing Successful Projects with PRINCE2 2017 Edition).
Frameworks, conjuntos de boas práticas e 
normas
33
CMMI (Capability Maturity Model Integration)
Modelo de maturidade de processos utilizado para a avaliação do estágio de maturidade dos processos de
uma Organização em relação à sua capacidade de cumprir com sua missão na prestação de serviços para a
corporação.
O modelo visa ajudar organizações envolvidas com o desenvolvimento de produtos, prestação de serviços e
aquisição a melhorar a capacidade de seus processos.
Atualmente na verão 2 (CMMI V2.0).
Frameworks, conjuntos de boas práticas e 
normas
34
Frameworks, conjuntos de boas práticas e 
normas
35
ISO/IEC 20000 - Gestão de serviços - TI
Estabelece as diretrizes para o gerenciamento de serviços de TI.
ISO/IEC 20000-1:2018 (Parte 1: requisitos do sistema de gestão de serviços)
■ Especifica os requisitos para o provedor de serviço planejar, estabelecer, implementar, operar, monitorar,
analisar criticamente, manter e melhorar um SGS.
■ Os requisitos incluem o desenho, transição, entrega e melhoria dos serviços para cumprir os requisitos do
serviço.
ISO/IEC 20000-2:2012 (Parte 2: guia de aplicação do sistema de gestão de serviços)
■ Fornece orientações sobre a aplicação de um SGS.
■ Fornece exemplos e sugestões.
Outras normas importantes
36
ISO/IEC 27000
■ Overview and vocabulary (Termos e definições aplicáveis a todas as normas da família 27000)
■ Referência normativa indispensável para aplicação de todas as normas da família 27000)
ISO/IEC 27001
■ Sistemas de gestão da segurança da informação— Requisitos
ISO/IEC 27002
■ Código de prática para controles de segurança da informação
ISO/IEC 27003
■ Sistemas de gestão da segurança da informação—Orientações
ISO/IEC 27004
■ Gestão da segurança da informação—Medição
Outras normas importantes
37
ISO/IEC 27005
■ Gestão de riscos de segurança da informação
ISO/IEC 27007
■ Auditoria em segurança da informação
ISO/IEC 27032
■ A norma ISO/IEC 27032 fornece diretrizes para tratamento de riscos relacionados à segurança cibernética
(cybersecurity), incluindo Malwares, Ataques de Engenharia Social, Hacking e Spywares.
ISO/IEC 27037
■ Tecnologia da informação - Técnicas de segurança - Diretrizes para identificação, coleta, aquisição e
preservação de evidência digital (Computação Forense).
Outras normas importantes
38
ISO/IEC 27701:2019 - Extensão da ISO/IEC 27001 e ISO/IEC 27002 para gestão da privacidade da informação
— Requisitos e diretrizes.
■ A norma ISO/IEC 27701 especifica os requisitos e fornece as diretrizes para o estabelecimento,
implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação
(SGPI) na forma de uma extensão das ISO/IEC 27001 e ISO/IEC 27002 para a gestão da privacidade dentro do
contexto da organização.
ISO/IEC 29100:2020 - Estrutura de Privacidade.
■ A norma fornece uma estrutura de alto nível para a proteção de dados pessoais (DP) dentro de sistemas de
tecnologia da informação e de comunicação (TIC).
■ A Norma fornece uma estrutura de privacidade que:
• especifica uma terminologia comum de privacidade;
• especifica os atores e os seus papéis no tratamento de dados pessoais (DP);
• descreve considerações de salvaguarda de privacidade; e
• fornece referências para princípios conhecidos de privacidade para tecnologia da informação.
Outras normas importantes
39
ISO/IEC 29134:2020 - Avaliação de Impacto de Privacidade - Diretrizes.
■ Fornece diretrizes para processo de avaliação de impacto de privacidade.
ISO/IEC 29151:2020 - Código de prática para Proteção de Dados Pessoais.
■ Estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos
requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais.
ISO 31000
■ Gestão de riscos – Diretrizes.
ISO 22301
■ Requisitos para um sistema de gestão da continuidade de negócios.
ISO 37301
■ Sistema de Gestão de Compliance – Requisitos com orientações para uso
ISO 9001
■ Especifica requisitos para um sistema de gestão da qualidade.
Curso preparatório oficial para o exame da certificação
Risk Management Foundation (ISO 31000) da ITCERTS
Agenda
1 Escopo da norma ISO 31000
2 Termos e definições
3 Princípios
4 Estrutura de Gestão de Riscos
5 Processo de Gestão de Riscos
41
Escopo da norma ISO 31000
42
A norma ISO 31000 fornece diretrizes para gerenciar riscos enfrentados pelas organizações.
A aplicação destas diretrizes pode ser personalizada para qualquer organização e seu contexto.
A norma ISO 31000 fornece uma abordagem comum para gerenciar qualquer tipo de risco e não é específico
para qualquer indústria ou setor.
Termos e definições
43
Risco
Efeito da incerteza nos objetivos.
Gestão de riscos
Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
Parte interessada
Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade.
Fonte de risco
Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco.
Termos e definições
44
Evento
Ocorrência ou mudança em um conjunto específico de circunstâncias.
Consequência
Resultado de um evento que afeta os objetivos.
Probabilidade
Chance de algo acontecer.
Controle
Medida que mantém e/ou modifica o risco (inclui, mas não está limitado a, qualquer processo, política,
dispositivo, prática ou outras condições e/ou ações que mantêm e/ou modificam o risco).
Termos e definições
45
Gestão de riscos
Conjunto de atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
Avaliação de riscos
Processo global de identificação de riscos, análise de riscos e assessment de riscos.
Princípios
46
O propósito da gestão de riscos é a criação e proteção de
valor.
Os princípios fornecem orientações sobre as características
da gestão de riscos eficaz e eficiente, comunicando seu valor e
explicando sua intenção e propósito.
Os princípios são a base para gerenciar riscos e convém que
sejam considerados quando se estabelecerem a estrutura e os
processos de gestão de riscos da organização.
Convém que os princípios possibilitem a uma organização
gerenciar os efeitos da incerteza nos seus objetivos.
Princípios
47
A gestão de riscos eficaz requer os seguintes elementos:
a) Integrada
A gestão de riscos é parte integrante de todas as atividades organizacionais.
b) Estruturada e abrangente
Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e
comparáveis.
c) Personalizada
A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e
interno da organização relacionados aos seus objetivos.
d) Inclusiva
O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos
de vista e percepções sejam considerados.
Princípios
48
A gestão de riscos eficaz requer os seguintes elementos:
e) Dinâmica
Riscos podem surgir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização
mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e eventos de uma
maneira apropriada e oportuna.
f) Melhor informação disponível
As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em
expectativas futuras. A gestão de riscos explicitamente leva em consideração quaisquer limitações e
incertezas associadas a estas informações e expectativas. Convém que a informação seja oportuna, clara e
disponível para as partes interessadas pertinentes.
Princípios
49
A gestão de riscos eficaz requer os seguintes elementos:
g) Fatores humanos e culturais
O comportamento humano e a cultura influenciam significativamente todos os aspectos da gestão de
riscos em cada nível e estágio.
h) Melhoria contínua
A gestão de riscos é continuamentemelhorada por meio do aprendizado e experiências.
Estrutura de Gestão de Riscos
50
O propósito da estrutura da gestão de riscos é apoiar a
organização na integração da gestão de riscos em
atividades e funções significativas.
A eficácia da gestão de riscos dependerá de sua integração
na governança da organização, incluindo a tomada de
decisões. Isso requer o apoio das partes interessadas,
principalmente da Alta Direção.
O desenvolvimento da estrutura engloba a integração,
concepção, implementação, avaliação e melhoria da
gestão de riscos em toda a organização.
Estrutura de Gestão de Riscos
51
Liderança e comprometimento
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, garantam que a gestão de riscos
esteja integrada em todas as atividades da organização, e convém que demonstrem liderança e
comprometimento:
■ personalizando e implementando todos os componentes da estrutura;
■ emitindo uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da gestão
de riscos;
■ assegurando que os recursos necessários sejam alocados para gerenciar riscos;
■ atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização.
Estrutura de Gestão de Riscos
52
Liderança e comprometimento
Isso ajudará a organização a:
■ alinhar a gestão de riscos com seus objetivos, estratégia e cultura;
■ reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários;
■ estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o
desenvolvimento de critérios de risco, assegurando que sejam comunicados à organização e às suas partes
interessadas;
■ comunicar o valor da gestão de riscos para a organização e suas partes interessadas;
■ promover o monitoramento sistemático de riscos;
■ garantir que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização.
Estrutura de Gestão de Riscos
53
Liderança e comprometimento
A Alta Direção é responsabilizada por gerenciar riscos, enquanto os órgãos de supervisão são
responsabilizados por supervisionar a gestão de riscos.
Com frequência, é requerido ou esperado que os órgãos de supervisão:
■ garantam que os riscos sejam adequadamente considerados ao se estabelecer os objetivos da organização;
■ compreendam os riscos aos quais a organização está exposta na busca de seus objetivos;
■ assegurem que os sistemas para gerenciar estes riscos estejam implementados e operem de forma eficaz;
■ assegurem que estes riscos sejam apropriados no contexto dos objetivos da organização;
■ assegurem que a informação sobre estes riscos e sua gestão seja devidamente comunicada.
Estrutura de Gestão de Riscos
54
Integração
A integração da gestão de riscos depende da compreensão das estruturas e do contexto organizacional.
As estruturas diferem dependendo do propósito, objetivos e complexidade da organização.
O risco é gerenciado em todas as partes da estrutura da organização.
Todos na organização são responsáveis ​​pela gestão de riscos.
Integrar a gestão de riscos em uma organização é um processo dinâmico e iterativo, e convém que seja
personalizado de acordo com as necessidades e cultura da organização.
Estrutura de Gestão de Riscos
55
Concepção
Entendendo a organização e seu contexto
Ao conceber a estrutura para gerenciar riscos, convém que a organização examine e compreenda seus
contextos externo e interno.
O exame do contexto externo da organização pode incluir, mas não está limitado a:
■ fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, econômicos e ambientais,
em âmbito internacional, nacional, regional ou local;
■ direcionadores-chave e tendências que afetem os objetivos da organização;
■ relacionamentos, percepções, valores, necessidades e expectativas das partes interessadas externas;
■ relações e compromissos contratuais;
■ complexidade das redes de relacionamento e dependências.
Estrutura de Gestão de Riscos
56
Concepção
Entendendo a organização e seu contexto
O exame do contexto interno da organização pode incluir, mas não está limitado a:
■ visão, missão e valores;
■ governança, estrutura organizacional, papéis e responsabilizações;
■ estratégia, objetivos e políticas;
■ a cultura da organização;
■ normas, diretrizes e modelos adotados pela organização;
■ dados, sistemas de informação e fluxos de informação;
■ relacionamentos com partes interessadas internas, levando em consideração suas percepções e valores;
■ relações e compromissos contratuais;
■ interdependências e interconexões.
Estrutura de Gestão de Riscos
57
Concepção
Articulando o comprometimento com a gestão de riscos
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, demonstrem e articulem o seu
comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou outras
formas que claramente transmitam os objetivos da organização e o comprometimento com a gestão de
riscos.
Convém que o comprometimento inclua, mas não se limite a:
■ o propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas;
■ liderar a integração da gestão de riscos nas atividades principais do negócio e na tomada de decisão;
■ autoridades, responsabilidades e responsabilizações;
■ tornar disponíveis os recursos necessários;
■ análise crítica e melhoria.
Convém que o comprometimento com a gestão de riscos seja comunicado na organização e às partes
interessadas, conforme apropriado.
Estrutura de Gestão de Riscos
58
Concepção
Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que as autoridades,
responsabilidades e responsabilizações para os papéis relevantes à gestão de riscos sejam atribuídas e
comunicadas em todos os níveis da organização, e convém que:
■ enfatizem que a gestão de riscos é uma responsabilidade principal;
■ identifiquem indivíduos que tenham responsabilidades e autoridade para gerenciar riscos (proprietários
dos riscos).
Estrutura de Gestão de Riscos
59
Concepção
Alocando recursos
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, garantam a alocação de recursos
apropriados para a gestão de riscos, que podem incluir, mas não estão limitados a:
■ pessoas, habilidades, experiência e competência;
■ processos, métodos e ferramentas da organização a serem usados na gestão de riscos;
■ processos e procedimentos documentados;
■ sistemas de gestão da informação e do conhecimento;
■ necessidades de treinamento e desenvolvimento profissional.
Convém que a organização considere as capacidades e restrições dos recursos existentes.
Estrutura de Gestão de Riscos
60
Concepção
Estabelecendo comunicação e consulta
Convém que a organização estabeleça uma abordagem aprovada para comunicação e consulta para apoiar
a estrutura e facilitar a aplicação eficaz da gestão de riscos.
A comunicação envolve compartilhar informação com públicos-alvo.
Estrutura de Gestão de Riscos
61
Implementação
Convém que a organização implemente a estrutura de gestão de riscos por meio de:
■ desenvolvimento de um plano apropriado, incluindo prazos e recursos;
■ identificação de onde, quando e como diferentes tipos de decisões são tomadas pela organização, e por
quem;
■ modificação dos processos de tomada de decisão aplicáveis, onde necessário;
■ garantia de que os arranjos da organização para gerenciar riscos sejam claramente compreendidos e
praticados.
A implementação bem-sucedida da estrutura requer o engajamento e a conscientização das partes
interessadas.
Adequadamente concebida e implementada, a estrutura de gestão de riscos garantirá que o processo de
gestão de riscos faça parte de todas as atividades da organização, incluindo a tomada de decisão, e que as
mudanças nos contextos externo e interno serão adequadamente capturadas.
Estrutura de Gestão de Riscos
62
Avaliação
Para avaliar a eficácia da estrutura degestão de riscos, convém que a organização:
■ mensure periodicamente o desempenho da estrutura de gestão de riscos em relação ao seu propósito,
planos de implementação, indicadores e comportamento esperado;
■ determine se permanece adequada para apoiar a realização dos objetivos da organização.
Estrutura de Gestão de Riscos
63
Melhoria
Adaptação
Convém que a organização monitore e adapte continuamente a estrutura de gestão de riscos para lidar
com as mudanças externas e internas. Ao fazer isso, a organização pode melhorar seu valor.
Melhoria contínua
Convém que organização melhore continuamente a adequação e eficácia da estrutura de gestão de riscos
e a forma como o processo de gestão de riscos é integrado.
Processo de Gestão de Riscos
64
O processo de gestão de riscos envolve a aplicação
sistemática de políticas, procedimentos e práticas
para as atividades de comunicação e consulta,
estabelecimento do contexto, avaliação,
tratamento, monitoramento, análise crítica,
registro e relato de riscos.
Processo de Gestão de Riscos
65
Convém que o processo de gestão de riscos seja parte integrante da gestão e da tomada de decisão, e seja
integrado à estrutura, às operações e aos processos da organização. Pode ser aplicado nos níveis
estratégico, operacional, de programas ou de projetos.
Embora o processo de gestão de riscos seja frequentemente apresentado como sequencial, na prática ele
é iterativo.
Processo de Gestão de Riscos
66
Comunicação e consulta
O propósito da comunicação e consulta é ajudar as partes interessadas relevantes na compreensão do
risco, a base sobre a qual decisões são tomadas e as razões pelas determinadas ações são necessárias. A
comunicação busca promover a conscientização e o compreensão do risco, enquanto a consulta envolve a
obtenção de feedback e informação para apoiar a tomada de decisão.
Convém que a comunicação e consulta com as partes interessadas externas e internas apropriadas
ocorram em todas as etapas do processo de gestão de riscos.
A Comunicação e consulta tem como objetivo:
■ reunir diferentes áreas de especialização para cada etapa do processo de gestão de riscos;
■ assegurar que diferentes pontos de vista sejam devidamente considerados ao definir os critérios de risco e ao
avaliar os riscos;
■ fornecer informações suficientes para facilitar a supervisão dos riscos e a tomada de decisão.
Processo de Gestão de Riscos
67
Escopo, contexto e critérios
O propósito do estabelecimento do escopo, contexto e critérios é personalizar o processo de gestão de
riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado.
O estabelecimento do escopo, contexto e critérios envolvem a definição do escopo do processo e a
compreensão dos contextos externo e interno.
Processo de Gestão de Riscos
68
Definindo o escopo
Convém que a organização defina o escopo de suas atividades de gestão de riscos.
Como o processo de gestão de riscos pode ser aplicado em diferentes níveis, é importante ser claro sobre o
escopo sob consideração, os objetivos relevantes a serem considerados e o seu alinhamento com os
objetivos organizacionais.
Ao planejar a abordagem, as considerações incluem:
■ objetivos e decisões que precisam ser tomadas;
■ resultados esperados das etapas a serem realizadas no processo;
■ ferramentas e técnicas de avaliação de riscos adequadas;
■ recursos necessários, responsabilidades e registros a serem mantidos;
■ relacionamentos com outros projetos, processos e atividades.
Processo de Gestão de Riscos
69
Contextos externo e interno
Os contextos externo e interno são o ambiente no qual a organização busca definir e atingir seus
objetivos.
Convém que o contexto do processo de gestão de riscos seja estabelecido à partir da compreensão dos
ambientes externo e interno no qual a organização opera, e convém que reflita o ambiente específico da
atividade à qual o processo de gestão de riscos é aplicado.
Compreender o contexto é importante porque:
■ a gestão de riscos ocorre no contexto dos objetivos e atividades da organização;
■ os fatores organizacionais podem ser uma fonte de risco;
■ o propósito e o escopo do processo de gestão de riscos podem estar inter-relacionados com os objetivos da
organização como um todo.
Processo de Gestão de Riscos
70
Definindo critérios de risco
Convém que a organização especifique a quantidade e o tipo de risco que podem ou não assumir em
relação aos objetivos.
Convém que os critérios de risco sejam alinhados à estrutura de gestão de riscos e sejam personalizados
para o propósito e o escopo específicos da atividade em consideração.
Convém que os critérios de risco reflitam os valores, objetivos e recursos da organização e sejam
consistentes com as políticas e declarações sobre gestão de riscos.
Convém que os critérios de risco sejam estabelecidos levando em consideração as obrigações da organização
e os pontos de vista das partes interessadas.
Embora convenha que os critérios de risco sejam estabelecidos no início do processo de avaliação de riscos,
eles são dinâmicos; e convém que sejam continuamente analisados criticamente e alterados, se necessário.
Processo de Gestão de Riscos
71
Definindo critérios de risco
Para estabelecer os critérios de risco, convém considerar:
■ a natureza e o tipo de incertezas que podem afetar resultados e objetivos (tanto tangíveis quanto
intangíveis);
■ como as consequências (tanto positivas quanto negativas) e as probabilidades serão definidas e medidas;
■ fatores relacionados ao tempo;
■ consistência no uso de medições;
■ como o nível de risco será determinado;
■ como as combinações e sequências de riscos múltiplos serão levadas em consideração;
a capacidade da organização.
Processo de Gestão de Riscos
72
Avaliação de riscos
O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos e
avaliação de riscos.
Convém que o processo de avaliação de riscos seja conduzida de forma sistemática, iterativa e colaborativa,
com base no conhecimento e nos pontos de vista das partes interessadas.
Processo de Gestão de Riscos
73
Identificação de riscos
O propósito da identificação de riscos é encontrar, reconhecer e descrever os riscos que possam ajudar ou
impedir que uma organização alcance seus objetivos. Informações relevantes, apropriadas e atualizadas são
importantes na identificação de riscos.
A organização pode usar uma variedade de técnicas para identificar incertezas que podem afetar um ou
mais objetivos. Os seguintes fatores, e a relação entre esses fatores, devem ser considerados:
■ fontes tangíveis e intangíveis de risco;
■ causas e eventos;
■ ameaças e oportunidades;
■ vulnerabilidades e capacidades;
■ mudanças nos contextos externo e interno;
■ indicadores de riscos emergentes;
■ natureza e valor dos ativos e recursos;
■ consequências e seus impactos nos objetivos;
■ limitações de conhecimento e de confiabilidade da informação;
■ fatores temporais.
Processo de Gestão de Riscos
74
Análise de riscos
O propósito da análise de riscos é compreender a natureza do risco e suas características, incluindo o nível
de risco, onde apropriado. A análise de riscos envolve a consideração detalhada de incertezas, fontes de
risco, consequências, probabilidade, eventos, cenários, controles e sua eficácia. Um evento pode ter
múltiplas causas e consequências e pode afetar múltiplos objetivos.
A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade, dependendo do
propósito da análise, da disponibilidade e confiabilidade da informação, e dos recursos disponíveis. As técnicas
de análise podem ser qualitativas, quantitativas ou uma combinação destas, dependendo das
circunstâncias e do uso pretendido.
Processo de Gestão de Riscos
75
Análise de riscos
Convém que a análise de riscos considere fatores como:
■ a probabilidade de eventos e consequências;
■ a natureza e magnitude das consequências;
■ fatores temporais e volatilidade;
■ a eficácia dos controlesexistentes;
A análise de riscos fornece uma entrada para a avaliação de riscos, para decisões sobre se o risco necessita ser
tratado e como, e sobre a estratégia e os métodos mais apropriados para o tratamento de riscos.
Processo de Gestão de Riscos
76
Avaliação de riscos ( Risk evaluation)
O propósito da avaliação de riscos é apoiar decisões. A avaliação de riscos envolve a comparação dos
resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde uma ação
adicional é necessária. Isto pode levar a uma decisão de:
■ não fazer mais nada;
■ considerar as opções de tratamento de riscos;
■ realizar análises adicionais para melhor compreender o risco;
■ manter os controles existentes;
■ reconsiderar os objetivos.
Convém que o resultado da avaliação de riscos seja registrado, comunicado e então validado nos níveis
apropriados da organização.
Processo de Gestão de Riscos
77
Tratamento de riscos
O propósito do tratamento de riscos é selecionar e implementar opções para lidar com os riscos.
O tratamento de riscos envolve um processo iterativo de:
■ formular e selecionar opções para tratamento do risco;
■ planejar e implementar o tratamento do risco;
■ avaliar a eficácia deste tratamento;
■ decidir se o risco remanescente é aceitável;
■ se não for aceitável, realizar tratamento adicional.
Processo de Gestão de Riscos
78
Seleção de opções de tratamento de riscos
Selecionar as opções mais apropriadas de tratamento de riscos envolve balancear os potenciais benefícios
derivados da escolha na realização dos objetivos em relação aos custos, esforço ou desvantagens da
implementação.
As opções de tratamento de riscos não são necessariamente mutuamente exclusivas ou apropriadas em
todas as circunstâncias.
As opções para tratar o risco podem envolver um ou mais dos seguintes:
■ evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco;
■ assumir ou aumentar o risco de maneira a perseguir uma oportunidade;
■ remover a fonte de risco;
■ mudar a probabilidade;
■ mudar as consequências;
■ compartilhar o risco (por exemplo, por meio de contratos ou seguros);
■ reter o risco por decisão informada.
Processo de Gestão de Riscos
79
Seleção de opções de tratamento de riscos (continuação)
A justificativa para o tratamento de riscos é mais ampla do que apenas considerações econômicas, e convém
que leve em consideração todas as obrigações da organização, compromissos voluntários e pontos de
vista das partes interessadas. Convém que a seleção de opções de tratamento de riscos seja feita de acordo
com os objetivos da organização, critérios de risco e recursos disponíveis.
Embora igualmente eficazes, alguns tratamentos de riscos podem ser mais aceitáveis para algumas partes
interessadas do que para outras.
O tratamento de riscos também pode introduzir novos riscos que precisem ser gerenciados.
Se não houver opções de tratamento disponíveis ou se as opções de tratamento não modificarem
suficientemente o risco, convém que este seja registrado e mantido sob análise crítica contínua.
Convém que os tomadores de decisão e outras partes interessadas estejam conscientes da natureza e
extensão do risco remanescente após o tratamento de riscos.
Processo de Gestão de Riscos
80
Preparando e implementando planos de tratamento de riscos
O propósito dos planos de tratamento de riscos é especificar como as opções de tratamento escolhidas
serão implementadas de maneira que os arranjos sejam compreendidos pelos envolvidos, e o progresso
em relação ao plano possa ser monitorado.
Convém que o plano de tratamento identifique claramente a ordem em que o tratamento de riscos será
implementado.
Convém que os planos de tratamento sejam integrados nos planos e processos de gestão da organização,
em consulta com as partes interessadas apropriadas.
Processo de Gestão de Riscos
81
Preparando e implementando planos de tratamento de riscos (continuação)
Convém que as informações fornecidas no plano de tratamento incluam:
■ a justificativa para a seleção das opções de tratamento, incluindo os benefícios esperados a serem obtidos;
■ aqueles que são responsáveis pela aprovação e implementação do plano;
■ as ações propostas;
■ os recursos necessários, incluindo contingências;
■ as medidas de desempenho;
■ as restrições;
■ os relatos e monitoramento necessários;
■ quando se espera que ações sejam tomadas e concluídas.
Processo de Gestão de Riscos
82
Monitoramento e análise crítica
O propósito do monitoramento e análise crítica é assegurar e melhorar a qualidade e eficácia da concepção,
implementação e resultados do processo.
Convém que monitoramento e análise crítica ocorram em todos os estágios do processo.
Convém que os resultados do monitoramento e análise crítica sejam incorporados em todas as atividades de
gestão, medição e relatos de desempenho da organização.
Processo de Gestão de Riscos
83
Registro e relato
Convém que o processo de gestão de riscos e seus resultados sejam documentados e relatados por meio de
mecanismos apropriados. O registro e o relato tem como objetivo:
■ comunicar atividades e os resultados da gestão de riscos em toda a organização;
■ fornecer informações para a tomada de decisão;
■ melhorar as atividades de gestão de riscos;
■ auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e com
responsabilização por atividades de gestão de riscos.
Curso preparatório oficial para o exame da certificação
Compliance Management Foundation (ISO 37301) da ITCERTS
Agenda
1 Introdução
2 Termos e definições
3 Contexto da organização
4 Liderança
5 Planejamento
6 Apoio
7 Competência
8 Informação documentada
9 Operação
10 Avaliação do desempenho
11 Auditoria interna
12 Melhoria
85
Introdução
86
As organizações que almejam o sucesso no longo prazo precisam estabelecer e manter uma cultura de
compliance, considerando as necessidades e expectativas das partes interessadas.
Compliance é um processo contínuo e o resultado de uma organização que cumpre as suas obrigações.
O compliance se torna sustentável ao ser incorporado na cultura da organização, e no comportamento e
na atitude das pessoas que trabalham para ela.
Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre
seu compromisso com o cumprimento de requisitos regulatórios, leis e regulamentos pertinentes (por
exemplo, GDPR e LGPD), bem como, com a adoção de boas práticas de governança e código de ética a fim
de atender a expectativa das partes interessadas interna e externa.
Um dos objetivos da adoção da norma ISO 37301 é justamente auxiliar as organizações a desenvolver e
disseminar uma cultura positiva de compliance, considerando uma gestão eficaz e sólida de riscos
relacionados à compliance.
Introdução
87
Principais benefícios da adoção de um sistema de gestão de compliance:
■ melhorar as oportunidades de negócios e sua sustentabilidade;
■ proteger e melhorar a reputação e credibilidade de uma organização;
■ levar em consideração as expectativas das partes interessadas;
■ demonstrar o comprometimento de uma organização em gerenciar seus riscos de conformidade de
forma eficaz e eficiente;
■ aumentar a confiança de terceiros na capacidade da organização de alcançar o sucesso de forma
sustentada;
■ minimizar o risco da ocorrência de uma violação de compliance e os custos associados como dano à
reputação, sanções, etc.
Introdução
88
Objetivos de um Sistema de Gestão de Compliance
■ Integridade
■ Cultura
■ Conformidade
■ Reputação
■ Valores
■ Ética
Introdução
89
Princípios de um Sistema de Gestão de Compliance
■ Integridade
■ Boa Governança
■ Proporcionalidade
■ Transparência
■ Responsabilização
■ Sustentabilidade
Introdução
90
Escopo
A norma ISO 37301 especifica os requisitos e fornece diretrizes para estabelecer, desenvolver,
implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma
organização.
A norma ISO 3701 é aplicávela todos os tipos de organizações, independentemente do tipo, porte e natureza
da atividade, bem como se a organização é do setor público, privado ou sem fins lucrativos.
Termos e definições
91
Organização
Pessoa ou grupo de pessoas que têm suas próprias funções com responsabilidades, autoridades e relações
para alcançar seus objetivos.
Parte interessada
Pessoa ou organização que pode afetar, ser afetada ou se perceber afetada por uma decisão ou atividade.
Alta Direção
Pessoa ou grupo de pessoas que dirige e controla uma organização no nível mais alto.
Termos e definições
92
Sistema de gestão
Conjunto de elementos inter-relacionados ou interativos de uma organização, para estabelecer políticas,
objetivos e processos para alcançar esses objetivos.
Política
Intenções e direção de uma organização, como formalmente expressos pela sua Alta Direção.
Objetivo
Resultado a ser alcançado.
Risco
Efeito da incerteza nos objetivos.
Termos e definições
93
Processo
Conjunto de atividades inter-relacionadas ou interativas que usam ou transformam entradas para entregar um
resultado.
Competência
Capacidade de aplicar conhecimento e habilidades para alcançar resultados pretendidos.
Informação documentada
Informação requerida para ser controlada e mantida por uma organização e o meio no qual ela está contida.
Desempenho
Resultado mensurável.
Termos e definições
94
Melhoria contínua
Atividade recorrente para melhorar o desempenho.
Eficácia
Extensão na qual atividades planejadas são realizadas e resultados planejados são alcançados.
Requisito
Necessidade ou expectativa que é declarada, geralmente obrigatória ou implícita.
Conformidade
Atendimento a um requisito.
Termos e definições
95
Não conformidade
Não atendimento a um requisito.
Ação corretiva
Ação para eliminar a(s) causa(s) de uma não conformidade e para prevenir recorrência.
Auditoria
■ Processo sistemático, documentado e independente, para obter evidência objetiva e avaliá-la objetivamente
para determinar a extensão na qual os critérios de auditoria são atendidos.
■ Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa (segunda parte ou
terceira parte)
■ Uma auditoria interna é conduzida pela própria organização, ou por uma parte externa em seu nome.
Termos e definições
96
Medição
Processo para determinar um valor.
Monitoramento
Determinação do estado de um sistema, um processo ou uma atividade.
Órgão Diretivo
Pessoa ou grupo de pessoas que tem a responsabilidade e autoridade finais pelas atividades, governança e
políticas de uma organização, e ao qual a Alta Direção se reporta e perante o qual a Alta Direção é
responsabilizada.
Termos e definições
97
Pessoal
Indivíduos em uma relação reconhecida como uma relação de trabalho com base em uma prática ou lei
nacional, ou em qualquer relação contratual na qual a sua atividade dependa da organização.
Função de compliance
Pessoa ou grupo de pessoas com responsabilidade e autoridade para a operação do sistema de gestão de
compliance.
Riscos de compliance
Probabilidade da ocorrência e as consequências de não compliance com as obrigações de compliance da
organização.
Termos e definições
98
Obrigações de compliance
Requisitos que uma organização mandatoriamente tem que cumprir, como também os que uma organização
voluntariamente escolhe cumprir.
Compliance
Atendimento a todas as obrigações de compliance da organização.
Não compliance
Não atendimento de obrigações de compliance.
Política de compliance
A política de compliance estabelece o comprometimento e os princípios gerais para ações, para que uma
organização alcance o compliance.
Termos e definições
99
Sistema de gestão de compliance
Um sistema de gestão de compliance é uma estrutura que integra procedimentos, processos, políticas e
estruturas essenciais para alcançar os resultados de compliance pretendidos, e agir para prevenir, detectar e
responder a um não compliance.
Cultura de compliance
Valores, ética, crenças e conduta que existem por toda a organização e interagem com as estruturas e os
sistemas de controle da organização para produzir normas comportamentais que contribuem com o
compliance.
Terceira parte
Pessoa ou órgão que é independente da organização.
Procedimento
Forma especificada de executar uma atividade ou um processo.
Contexto da organização
100
4.1 Entendendo a organização e seu contexto
A organização deve determinar as questões internas e externas que são relevantes para o seu propósito e
que afetam sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de compliance.
Para este propósito, a organização deve considerar uma gama variada de questões, incluindo, mas não
limitadas a:
■ o modelo de negócio, incluindo a estratégia, a natureza, o tamanho e a complexidade de escala e
sustentabilidade das atividades e operações da organização;
■ a natureza e o escopo dos negócios na relação com as terceiras partes;
■ o contexto regulatório e legal;
■ a situação econômica;
■ os contextos social, cultura e ambiental;
■ as estruturas, as políticas, os processos, os procedimentos e os recursos internos, incluindo tecnologia;
■ sua cultura de compliance.
Contexto da organização
101
4.2 Entendendo as necessidades e as expectativas das partes interessadas
A organização deve determinar:
■ as partes interessadas que são relevantes para o sistema de gestão de compliance;
■ os requisitos relevantes destas partes interessadas;
■ quais destes requisitos serão endereçados pelo sistema de gestão de compliance.
Contexto da organização
102
4.3 Determinando o escopo do sistema de gestão de compliance
A organização deve determinar os limites e a aplicabilidade do sistema de gestão de compliance para
estabelecer o seu escopo.
Ao determinar esse escopo, a organização deve considerar:
■ as questões internas e externas referidas no entendimento da organização e seu contexto.
■ os requisitos referidos no entendimento das necessidades e as expectativas das partes interessadas, das
obrigações de compliance e da avaliação de riscos de compliance.
O escopo deve estar disponível como informação documentada.
Contexto da organização
103
4.4 Sistema de gestão de compliance
A organização deve estabelecer, implementar, manter e melhorar continuamente um sistema de gestão
de compliance, incluindo os processos necessários e as suas interações, de acordo com os requisitos da
norma ISO 37301.
O sistema de gestão de compliance deve refletir os valores, objetivos, estratégias e os riscos de compliance
da organização, levando em consideração o contexto da organização.
Contexto da organização
104
4.5 Obrigações de compliance
A organização deve, sistematicamente, identificar as suas obrigações de compliance resultantes das suas
atividades, produtos e serviços, e avaliar os seus impactos nas suas operações.
A organização deve ter processos implementados para:
■ a) identificar obrigações de compliance novas e alteradas, para assegurar compliance contínuo;
■ b) avaliar o impacto das mudanças identificadas e implementar quaisquer mudanças necessárias na gestão
das obrigações de compliance.
A organização deve manter informação documentada das suas obrigações de compliance.
Contexto da organização
105
4.6 Avaliação de riscos de compliance
A organização deve identificar, analisar e avaliar seus riscos de compliance baseado em um processo de
avaliação de riscos de compliance.
A organização deve identificar os riscos de compliance relacionando as suas obrigações de compliance com
as suas atividades, produtos, serviços e aspectos relevantes das suas operações.
A organização deve avaliar os riscos de compliance relacionados aos processos terceirizados e de terceiros.
Os riscos de compliance devem ser avaliados periodicamente e sempre que ocorrerem mudanças materiais
nas circunstâncias ou no contexto da organização.
A organização deve reter informação documentada sobre o processo de avaliação dos riscos de compliance e
sobre as ações para endereçaros riscos de compliance.
Liderança
106
5.1 Liderança e comprometimento
5.1.1 Órgão Diretivo e Alta Direção
O Órgão Diretivo e a Alta Direção devem demonstrar liderança e comprometimento em relação ao sistema
de gestão de compliance para:
■ garantir que a política de compliance e os objetivos de compliance sejam estabelecidos e são
compatíveis com a direcionamento estratégico da organização;
■ garantir a integração dos requisitos do sistema de gestão de compliance nos processos de negócio da
organização;
■ garantir que os recursos necessários para o sistema de gestão de compliance estejam disponíveis;
■ comunicar a importância de um sistema de gestão de compliance eficaz e da conformidade com os
requisitos do sistema de gestão de compliance;
■ assegurar que o sistema de gestão de compliance alcance os seus resultados pretendidos;
■ apoiar e orientar as pessoas para contribuírem com a eficácia do sistema de gestão de compliance;
promover a melhoria contínua;
■ apoiar outros papéis relevantes para demonstrar sua liderança, e como se aplica às suas áreas de
responsabilidades.
Liderança
107
5.1 Liderança e comprometimento
5.1.1 Órgão Diretivo e Alta Direção
O Órgão Diretivo e a Alta Direção devem:
■ estabelecer e sustentar os valores da organização;
■ garantir que as políticas, processos e procedimentos sejam desenvolvidos e implementados para atingir
os objetivos de compliance;
■ garantir que eles sejam informados em tempo hábil sobre questões de conformidade, incluindo casos de
não conformidade, e garantir que as ações apropriadas sejam tomadas;
■ garantir que o comprometimento com o compliance seja mantido e que o descumprimento e o
comportamento não compatível sejam tratados adequadamente;
■ garantir que as responsabilidades pelo compliance estejam incluídas nas descrições do cargo, conforme
apropriado;
■ indicar ou nomear uma função de compliance;
■ garantir que um sistema para levantar e abordar preocupações seja estabelecido.
Liderança
108
5.1 Liderança e comprometimento
5.1.2 Cultura de compliance
A organização deve desenvolver, manter e promover uma cultura de compliance em todos os níveis
dentro da organização.
O Órgão Diretivo, a Alta Direção e os gestores devem demonstrar um comprometimento ativo, visível,
consistente e sustentável, com relação a um padrão comum de comportamento e conduta, que seja exigido
por toda a organização.
A Alta Direção deve encorajar um comportamento que crie e apoie o compliance. Deve-se prevenir e não
tolerar comportamentos que comprometam o compliance.
Liderança
109
5.1 Liderança e comprometimento
5.1.3 Governança de compliance
O Órgão Diretivo e a Alta Direção devem garantir que os seguintes princípios sejam implementados:
■ acesso direto da função de compliance ao Órgão Diretivo;
■ independência da função de compliance;
■ autoridade apropriada e competência da função de compliance.
Liderança
110
5.2 Política de compliance
O Órgão Diretivo e a Alta Direção devem estabelecer uma política de compliance que:
■ a) seja apropriada ao propósito da organização;
■ b) forneça uma estrutura para estabelecer os objetivos de compliance;
■ c) inclua um comprometimento em atender aos requisitos aplicáveis;
■ d) inclua um comprometimento com a melhoria contínua do sistema de gestão de compliance.
Liderança
111
5.2 Política de compliance
A política de compliance deve:
■ estar alinhada com os valores, os objetivos e a estratégia da organização;
■ exigir o cumprimento das obrigações de compliance da organização;
■ apoiar os princípios de governança de compliance;
■ fazer referência e descrever a função de compliance;
■ definir as consequências de não estar em compliance com os procedimentos, processos, políticas e
obrigações de compliance da organização;
■ encorajar o levantamento de preocupações e proibir quaisquer formas de retaliação;
■ estar escrita em uma linguagem simples de modo que todo o pessoal possa entender facilmente os
propósitos e princípios;
■ ser adequadamente implementada e aplicada;
■ estar disponível como informação documentada;
■ ser comunicada dentro da organização;
■ estar disponível para as partes interessadas, conforme apropriado.
Liderança
112
5.3 Papéis, responsabilidade e autoridades
5.3.1 Órgão Diretivo e Alta Direção
O Órgão Diretivo e a Alta Direção devem garantir que as responsabilidades e autoridades para os papéis
pertinentes estejam atribuídas e comunicadas dentro da organização.
O Órgão Diretivo e a Alta Direção devem atribuir responsabilidade e autoridade para:
■ a) garantir que o sistema de gestão de compliance esteja em conformidade com os requisitos da norma
ISO 37301;
■ b) reportar sobre o desempenho do sistema de gestão de compliance para o Órgão Diretivo e para a Alta
Direção.
Liderança
113
5.3 Papéis, responsabilidade e autoridades
5.3.1 Órgão Diretivo e Alta Direção
O Órgão Diretivo deve:
■ garantir que a Alta Direção seja avaliada em relação ao cumprimento dos objetivos de compliance;
■ exercer uma supervisão sobre a Alta Direção com relação à operação do sistema de gestão de compliance.
A Alta Direção deve:
■ alocar recursos adequados e apropriados para estabelecer, desenvolver, implementar, avaliar, manter e
melhorar o sistema de gestão de compliance;
■ garantir a existência de sistemas eficazes de reporte de desempenho de compliance em tempo hábil;
■ garantir o alinhamento entre as metas estratégicas e operacionais e as obrigações de compliance;
■ estabelecer e manter mecanismos de responsabilização, incluindo ações disciplinares e consequências;
■ garantir a integração do desempenho do compliance nas avaliações de desempenho do pessoal.
Liderança
114
5.3 Papéis, responsabilidade e autoridades
5.3.2 Função de compliance
A função de compliance deve ser responsável pela operação do sistema de gestão de compliance, incluindo
o seguinte:
■ facilitar a identificação das obrigações de compliance;
■ documentar a avaliação dos riscos de compliance;
■ alinhar o sistema de gestão de compliance com os objetivos de compliance;
■ monitorar e medir o desempenho do compliance;
■ analisar e avaliar o desempenho do sistema de gestão de compliance para identificar quaisquer
necessidades de ação corretiva;
■ estabelecer um sistema de relatórios e documentação de compliance;
■ garantir que o sistema de gestão de compliance seja analisado criticamente dentro de intervalos
planejados.
Liderança
115
5.3 Papéis, responsabilidade e autoridades
5.3.2 Função de compliance
A função de compliance deve exercer supervisão de modo que:
■ as responsabilidades para alcançar as obrigações de compliance identificadas estejam apropriadamente
alocadas em toda a organização;
■ as obrigações de compliance estejam integradas com as políticas, os processos e os procedimentos;
■ todas o pessoal relevante seja treinado, conforme necessário;
■ sejam estabelecidos indicadores de desempenho do compliance.
Liderança
116
5.3 Papéis, responsabilidade e autoridades
5.3.2 Função de compliance
A função de compliance deve fornecer:
■ pessoal com acesso aos recursos sobre políticas, processos e procedimentos de compliance;
■ aconselhamento para a organização sobre assuntos relacionados ao compliance.
A organização deve garantir que a função de compliance tenha acesso a:
■ tomadores de decisão seniores e a oportunidade de contribuir no início dos processos de tomada de decisão;
■ todos os níveis da organização;
■ todo o pessoal, informações documentadas e dados necessários;
■ orientação especializada sobre leis, regulamentos, códigos e padrões organizacionais relevantes.
Liderança
117
5.3 Papéis, responsabilidade e autoridades
5.3.3 Direção
A direção deve ser responsável pelo compliance dentro da sua área de responsabilidade:
■ cooperando e apoiando a função de compliance e encorajando o pessoal a fazer o mesmo;
■ garantindo que todo o pessoal sob seu controle esteja em conformidade com as políticas, processos e
procedimentos e as obrigações de compliance da organização;
■ identificando e comunicandoos riscos de compliance em suas operações;
■ integrando as obrigações de compliance às práticas e aos procedimentos de negócio existentes em suas
áreas de responsabilidade;
■ apoiando e participando das atividades de treinamento de compliance;
Liderança
118
5.3 Papéis, responsabilidade e autoridades
5.3.3 Direção (continuação)
A direção deve ser responsável pelo compliance dentro da sua área de responsabilidade:
■ desenvolvendo a conscientização junto ao pessoal sobre as obrigações de compliance, e orientando-os a
cumprir os requisitos de competência e treinamento;
■ encorajando seu pessoal a levantar preocupações de compliance e apoiando-os e impedindo quaisquer
formas de retaliação;
■ participando ativamente na gestão e na resolução de incidentes relacionados a compliance e outras
questões, conforme necessário;
■ garantindo que, uma vez identificada a necessidade de ação corretiva, a ação corretiva apropriada seja
recomendada e implementada.
Liderança
119
5.3 Papéis, responsabilidade e autoridades
5.3.4 Pessoal
Todo pessoal deve:
■ aderir aos procedimentos, processos, políticas e às obrigações de compliance da organização;
■ reportar preocupações e falhas de compliance;
■ participar dos treinamentos, conforme necessário.
Planejamento
120
6.1 Ações para abordar riscos e oportunidades
Ao planejar o sistema de gestão de compliance, a organização deve considerar o seu contexto, as necessidades
e as expectativas das partes interessadas, e determinar os riscos e oportunidade que precisam ser
considerados para:
■ prover garantia de que o sistema de gestão de compliance pode alcançar seus resultados pretendidos;
■ prevenir ou reduzir efeitos indesejados;
■ alcançar a melhoria contínua.
Ao planejar o sistema de gestão de compliance, a organização deve considerar:
■ seus objetivos de compliance;
■ as obrigações de compliance identificadas;
■ os resultados da avaliação de riscos de compliance.
Planejamento
121
6.1 Ações para abordar riscos e oportunidades (continuação)
A organização deve planejar:
■ a) ações para endereçar estes riscos e oportunidades;
■ b) como:
• 1) integrar e implementar as ações em seus processos do sistema de gestão de compliance;
• 2) avaliar a eficácia dessas ações.
Planejamento
122
6.2 Objetivos de compliance e planejamento para alcançá-los
A organização deve estabelecer os objetivos de compliance para as funções e níveis relevantes.
Os objetivos de compliance devem:
■ a) ser consistentes com a política de compliance;
■ b) ser mensuráveis (se praticável);
■ c) levar em consideração os requisitos aplicáveis;
■ d) ser monitorados;
■ e) ser comunicados;
■ f) estar atualizados, conforme apropriado;
■ g) estar disponíveis como informação documentada.
Planejamento
123
6.2 Objetivos de compliance e planejamento para alcançá-los (continuação)
Ao planejar como alcançar os seus objetivos de compliance, a organização deve determinar:
■ o que será feito;
■ quais recursos serão necessários;
■ quem será o responsável;
■ quando será concluído;
■ como os resultados serão avaliados.
Planejamento
124
6.3 Planejamento de mudanças
Quando a organização determinar as necessidades para mudanças do sistema de gestão de compliance, estas
mudanças devem ser conduzidas de uma forma planejada.
A organização deve considerar:
■ os propósitos das mudanças e suas possíveis consequências;
■ o projeto e a eficácia operacional do sistema de gestão de compliance;
■ a disponibilidade de recursos adequados;
■ a alocação ou realocação de responsabilidades e autoridades.
Apoio
125
7.1 Recursos
A organização deve determinar e fornecer os recursos necessários para o estabelecimento, a implementação,
a manutenção e a melhoria contínua do sistema de gestão de compliance.
Competência
126
7.2.1 Generalidades
A organização deve:
■ determinar a competência necessária de pessoas que realizam trabalhos sob o seu controle e que afetam o
seu desempenho de compliance;
■ garantir que essas pessoas sejam competentes com base em educação, treinamento ou experiência
apropriados;
■ tomar ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas, onde
aplicável.
Informação documentada apropriada deve estar disponível como evidência de competência.
Competência
127
7.2.2 Processo de contratação
Em relação a todo o seu pessoal, a organização deve desenvolver, estabelecer, implementar e manter
processos:
■ a) em que as condições de contratação exijam que o pessoal cumpra com os processos, os procedimentos,
as políticas e as obrigações de compliance da organização;
■ b) que dentro de um período razoável do início da sua contratação, o pessoal receba uma cópia, ou tenha
acesso a política de compliance e treinamento em relação a essa política;
■ c) ações disciplinares apropriadas devem ser tomadas contra o pessoal que viole os processos e os
procedimentos e as políticas e as obrigações de compliance da organização.
Competência
128
7.2.3 Treinamento
O objetivo de um treinamento é garantir que as pessoas são competentes para cumprir os seus papéis de
forma consistente com a cultura de compliance da organização e com o seu comprometimento com o
compliance.
A organização deve fornecer para o pessoal pertinente treinamento em base regular, desde o início da
contratação e a intervalos planejados determinados pela organização.
O treinamento deve ser:
■ a) apropriado aos papéis do pessoal e aos riscos de compliance aos quais as pessoas estão expostas;
■ b) avaliado quanto à sua eficácia;
■ c) analisado criticamente regularmente.
Competência
129
7.2.3 Treinamento (continuação)
Considerando os riscos de compliance identificados, a organização deve assegurar que procedimentos
estejam implementados para contemplar a conscientização e o treinamento de compliance para terceiros
que atuam em seu nome e que possam representar um risco de compliance para a organização.
Os registros de treinamento devem ser retidos como informação documentada.
Competência
130
7.3 Conscientização
As pessoas que realizam trabalho sob o controle da organização devem estar conscientes:
■ da política de compliance;
■ das suas contribuições para a eficácia do sistema de gestão de compliance, incluindo os benefícios da
melhoria do desempenho de compliance;
■ das implicações de estarem em conformidade com os requisitos do sistema de gestão de compliance;
■ os meios e procedimentos para o levantamento de preocupações de compliance;
■ da relação da política de compliance e as obrigações de compliance relevantes aos seus papéis;
■ da importância de apoiar a cultura de compliance.
Competência
131
7.4 Comunicação
A organização deve determinar as comunicações internas e externas relevantes para o sistema de gestão de
compliance, incluindo:
■ a) sobre o que comunicar;
■ b) quando se comunicar;
■ c) com quem se comunicar;
■ d) como se comunicar.
Competência
132
7.4 Comunicação (continuação)
A organização deve:
■ considerar os aspectos de diversidade e de barreiras potenciais ao considerar suas necessidades de
comunicação;
■ garantir que pontos de vista das partes interessadas sejam considerados no estabelecimento dos seus
processos de comunicação;
■ responder às comunicações relevantes sobre o seu sistema de gestão de compliance;
■ reter informação documentada, como evidência da sua comunicação, conforme necessário;
■ comunicar internamente informações relevantes do sistema de gestão de compliance entre os vários níveis e
funções da organização, incluindo mudanças no sistema de gestão de compliance, conforme apropriado;
■ garantir que seus processos de comunicação permitam que o pessoal contribua para a melhoria contínua
do sistema de gestão de compliance;
■ garantir que seus processos de comunicação permitam ao pessoal levantar preocupações;
■ comunicar externamente informações pertinentes do sistema de gestão de compliance, conforme
estabelecido pelos processos de comunicação da organização e incluir comunicação sobre a sua cultura de
compliance, objetivos e obrigaçõesde compliance.
Informação documentada
133
7.5.1 Generalidades
O sistema de gestão de compliance da organização deve incluir:
■ a) informação documentada requerida pela norma ISO 37301;
■ b) informação documentada determinada pela organização como sendo necessária para a eficácia do
sistema de gestão de compliance.
Operação
134
8.1 Planejamento e controle operacional
A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos:
■ estabelecer critérios para os processos;
■ implementar controles dos processos de acordo com os critérios.
Operação
135
8.2 Estabelecendo controles e procedimentos
A organização deve implementar controles para gerenciar suas obrigações de compliance e riscos de
compliance associados. Estes controles devem ser mantidos, analisados criticamente de forma periódica e
testados para assegurar a sua contínua eficácia.
Operação
136
8.3 Levantamento de preocupações
A organização deve estabelecer, implementar e manter um processo para encorajar e permitir a denúncia
de tentativas, suspeitas ou de violações reais da política de compliance ou das obrigações de compliance.
Este processo deve:
■ ser visível e acessível para toda a organização;
■ tratar as denúncias de forma confidencial;
■ aceitar denúncias anônimas;
■ proteger aqueles que fazem uma denúncia contra retaliações;
■ permitir que as pessoas recebam aconselhamento.
Operação
137
8.4 Processo de investigação
A organização deve desenvolver, estabelecer, implementar e manter processos para avaliar, verificar
investigar e encerrar as denúncias sobre casos suspeitos ou reais de não compliance. Estes processos
devem garantir uma tomada de decisão justa e imparcial.
Os processos de investigação devem ser conduzidos de forma independente e sem conflitos de interesses,
pelo pessoal competente.
A organização deve utilizar os resultados das investigações para a melhoria do sistema de gestão de
compliance, conforme apropriado.
A organização deve reportar regularmente os números e os resultados das investigações para o Órgão
Diretivo ou para a Alta Direção.
A organização deve reter informação documentada sobre as investigações.
Avaliação do desempenho
138
9.1 Monitoramento, medição, análise e avaliação
O monitoramento é o processo de coleta de informação com o propósito de avaliar a eficácia do sistema
de gestão de compliance e o desempenho do compliance da organização.
A organização deve monitorar o sistema de gestão de compliance para garantir que os objetivos de
compliance sejam alcançados.
A organização deve determinar:
■ o que precisa ser monitorado e medido;
■ os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para garantir resultados
válidos;
■ quando o monitoramento e a medição devem ser realizados;
■ quando os resultados do monitoramento e medição devem ser analisados e avaliados.
A informação documentada deve estar disponível como evidência dos resultados.
A organização deve avaliar o desempenho do compliance e a eficácia do sistema de gestão do compliance.
Avaliação do desempenho
139
9.1.2 Fontes de feedback sobre o desempenho de compliance
A organização deve estabelecer, implementar, avaliar e manter processos para buscar e receber feedback
sobre o seu desempenho do compliance de várias fontes.
A informação deve ser analisada e avaliada criticamente para identificar as causas-raiz de não compliance
para garantir que as ações apropriadas sejam tomadas, e refletir esta informação na avaliação periódica de
riscos.
Avaliação do desempenho
140
9.1.3 Desenvolvimento de indicadores
A organização deve desenvolver, implementar e manter um conjunto de indicadores apropriado que
orientem a organização na avaliação do alcance dos seus objetivos de compliance, para avaliar o seu
desempenho de compliance.
Avaliação do desempenho
141
9.1.4 Relatório de compliance
A organização deve estabelecer, implementar e manter processos de relatórios de compliance, e garantir
que:
■ a) sejam definidos critérios apropriados para relatório;
■ b) sejam estabelecidos prazos regulares para relatório;
■ c) seja implementado um sistema de relatório de exceção que facilite relatórios ad hoc;
■ d) sistemas e processos sejam implementados para garantir a precisão e completeza da informação;
■ e) informações precisas e completas seja fornecida às funções ou áreas pertinentes da organização para
permitir que ações preventivas, corretivas e reparatórias sejam tomadas em um tempo hábil.
Avaliação do desempenho
142
9.1.5 Manutenção de registros
Registros precisos e atualizados sobre as atividades de compliance da organização devem ser mantidos
para auxiliar no processo de monitoramento e análise crítica e demonstrar a conformidade com o sistema
de gestão de compliance.
Auditoria interna
143
9.2.1 Generalidades
A organização deve conduzir auditorias internas em intervalos planejados, para fornecer informações sobre
se o sistema de gestão de compliance:
■ a) está em conformidade com:
• os requisitos da própria organização para o seu sistema de gestão de compliance;
• os requisitos da norma ISO 37301;
■ b) está implementado e mantido eficazmente.
Auditoria interna
144
9.2.2 Programa de auditoria interna
A organização deve planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a
frequência, métodos, responsabilidades, requisitos de planejamento e relatórios.
Ao estabelecer o programa de auditoria interna, a organização deve considerar a importância dos processos
pertinentes e os resultados de auditoria anteriores.
A organização deve:
■ a) definir os objetivos da auditoria, os critérios e o escopo para cada auditoria;
■ b) selecionar auditores e conduzir as auditorias para garantir objetividade e imparcialidade do processo de
auditoria;
■ c) garantir que os resultados das auditorias sejam reportados aos gestores relevantes e à direção.
Informação documentada deve estar disponível como evidência da implementação do programa de
auditoria e dos resultados de auditoria.
Auditoria interna
145
9.3.1 Análise crítica pela direção
O Órgão Diretivo e a Alta Direção devem analisar criticamente o sistema de gestão de compliance da
organização, dentro de intervalos planejados, para garantir sua contínua adequação, suficiência e eficácia.
Auditoria interna
146
9.3.2 Entradas para análise crítica pela direção
A análise crítica pela direção deve incluir:
■ a) a situação das ações das análises críticas anteriores feitas pela direção;
■ b) mudanças em questões externas e internas que sejam relevantes para o sistema de gestão de
compliance;
■ c) mudanças nas necessidades e expectativas das partes interessadas que sejam relevantes para o
sistema de gestão de compliance;
■ d) informações sobre o desempenho do compliance, incluindo tendências em:
• não conformidades, não compliance e ações corretivas;
• resultados de monitoramento e medição;
• resultados de auditoria;
■ e) oportunidades para melhoria contínua.
Auditoria interna
147
9.3.2 Entradas para análise crítica pela direção
A análise crítica pela direção deve considerar:
■ a adequação da política de compliance;
■ a independência da função de compliance;
■ a extensão na qual os objetivos de compliance foram atendidos;
■ a adequação dos recursos;
■ a adequação da avaliação dos riscos de compliance;
■ a eficácia dos controles e os indicadores de desempenho existentes.
Auditoria interna
148
9.3.3 Resultados da análise crítica pela direção
Os resultados da análise crítica pela direção devem incluir decisões relacionadas às oportunidades de
melhoria contínua e quaisquer necessidades de mudanças do sistema de gestão de compliance.
Informação documentada deve estar disponível como evidência dos resultados das análises críticas pela
direção.
Melhoria
149
10.1 Melhoria contínua
A organização deve melhorar continuamente a adequação, a suficiência, e a eficácia do sistema de gestão
de compliance.
Melhoria
150
10.2 Não conformidade