ISO 9000

Prévia do material em texto

1 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
 
 
 
 
CURSO IN COMPANY MINISTRADO PARA ERNST YOUNG – 15/02/2017 
INTERPRETAÇÃO DA ISO 37001:16 SISTEMA DE GESTÃO ANTISSUBORNO – REQUISITOS E ORIENTAÇÕES 
PARA USO 
INTERPRETAÇÃO DA ISO 19600:16 SISTEMA DE GESTÃO DE COMPLIANCE – DIRETRIZES 
 
NOTA DE ABERTURA: IMPORTANTE 
A APOSTILA MENCIONA OS REQUISITOS 37001:16 E ISO 19600:14, OS QUAIS FORAM INCLUÍDOS E DISTRIBUÍDOS ENTRE OUTROS TEXTOS E 
CONTEÚDOS, PARA OS FINS DO TREINAMENTO PROPOSTO PELA GRISCOM. 
PARA USO TÉCNICO E APLICAÇÃO, A CONSULTA AOS REQUISITOS DAS NORMAS EM REFERÊNCIA DEVE SER REALIZADA DIRETAMENTE AO 
DOCUMENTO / NORMA TÉCNICA ISO ou NBR-ISO. 
 
2 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
 
ÍNDICE 
TEMA PÁGINA 
Introdução ao Curso 3 
Histórico do nascimento da norma e contexto legal e de riscos - global e local 6 
Lei Anticorrupção 12.846:13 e seus efeitos 8 
Criação da Norma, especialistas e países que participaram 11 
Estrutura e Temas da Apostila, Estrutura das Normas e Tabela de Correlação 13 
Contexto da Organização 16 
Necessidades e expectativas das partes Interessadas 19 
Sistema de Gestão 22 
Avaliação de Riscos 27 
Liderança e Comprometimento 33 
Política Antissuborno / Compliance 37 
Papéis, responsabilidades e autoridades organizacionais 40 
Ações para abordar riscos e oportunidades 48 
Objetivos antissuborno / compliance e planejamento para alcança-los 50 
Recursos 51 
Competência 52 
Conscientização e treinamento 56 
Comunicação 61 
Informação Documentada 64 
Planejamento e Controle Operacionais 67 
Due Diligence 70 
Controles Financeiros 74 
Controles não financeiros 75 
Controle antissuborno por organizações controladas e por parceiros de negócios 79 
Comprometimento antissuborno 84 
Presentes, hospitalidade, doações e benefícios similares 86 
Levantando preocupações (canais) 90 
Investigando e lidando com suborno 91 
Monitoramento, medição, análise e avaliação 97 
Auditoria Interna 101 
Análise Crítica pela Direção 105 
Análise Crítica pela função de compliance antissuborno 106 
Não Conformidade, ação corretiva e Melhoria Contínua 108 
Casos de condenação para exemplificação 112 
Referências Bibliográficas 114 
 
 
3 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
INTRODUÇÃO AO CURSO 
As organizações que pretendem ser bem-sucedidas em longo prazo precisam desenvolver e manter 
uma Cultura de Integridade e Compliance, bem como considerar as necessidades e expectativas das 
partes interessadas. Nesse sentido, integridade e compliance, além de preservarem valor para uma 
organização, são também a base para a ampliação de sua competitividade e sustentabilidade. 
O compliance é a consequência do cumprimento das obrigações por uma organização e, para que seja 
realizado de forma sustentável, é necessário que esteja incorporado na cultura organizacional, 
refletindo-se, como consequência, no comportamento e atitude de pessoas que trabalham para ela. 
Guardando-se sempre a ideia de manutenção de sua independência com relação à todas as áreas da 
empresa, a gestão de compliance deve estar integrada aos processos de gestão financeira, de risco, de 
qualidade, ambiental, de saúde e segurança da organização, bem como aos seus procedimentos 
operacionais. 
Um sistema de gestão de compliance eficaz, e que abrange toda a organização, permite que esta 
demonstre seu compromisso com o cumprimento das leis pertinentes, incluindo códigos da indústria, 
normas organizacionais, bem como as normas de boa governança corporativa, boas práticas, ética e 
expectativas de seus públicos de relacionamento. 
A abordagem de uma organização quanto ao compliance deve ser moldada pela liderança, ao aplicar 
valores fundamentais de governança corporativa e padrões éticos e sociais geralmente aceitos. 
Incorporar o compliance no comportamento das pessoas que trabalham para uma organização 
depende, sobretudo, da liderança em todos os níveis e da transparência dos valores dessa organização, 
bem como de um reconhecimento e implementação de medidas para promover um comportamento 
compatível. Se não for assim em todos os níveis de uma organização, existe o risco do não 
cumprimento. 
As organizações estão cada vez mais convencidas de que, por meio da aplicação de valores 
internamente acordados e da gestão apropriada de compliance, elas podem salvaguardar a sua 
integridade e evitar ou minimizar os impactos advindos do não cumprimento da legislação. Assim, a 
integridade e o compliance são elementos-chave de uma boa e diligente gestão. O compliance também 
contribui para o comportamento socialmente responsável das organizações. 
A diferença entre a Norma ISO 19600:14 Sistema de Gestão de Compliance – Diretrizes e a Norma ISO 
37001:16 – Sistema de Gestão Antissuborno – Requisitos com Orientação para uso é que a primeira 
não especifica os requisitos, mas fornece diretrizes sobre o sistema de gestão de compliance e as 
práticas recomendadas. Já a segunda especifica os requisitos e detalha, nas orientações para uso, quais 
práticas mínimas mundiais são recomendadas para uma boa e eficaz implementação. 
Normas de requisitos são normas que permitem uma certificação por terceira parte acreditada. As 
normas de diretrizes permitem que haja uma recomendação de conformidade (não acreditada) 
quando o sistema de gestão for avaliado por uma terceira parte independente. 
Os temas a seguir são normalmente abordados nas organizações para definição de política(s) de 
compliance: 
4 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
 
É importante avaliar o “escopo” que cada norma define para fins de estabelecimento dos sistemas de 
gestão: 
Escopo da ISO 19600:14 
Fornece orientações para o estabelecimento, desenvolvimento, implementação, avaliação, 
manutenção e melhoria do sistema de gestão de compliance de forma efetiva e ágil em uma 
organização. 
As diretrizes relativas aos sistemas de gestão de compliance são aplicáveis a todos os tipos de 
organizações. A extensão destas diretrizes depende do porte, estrutura, natureza e complexidade da 
organização. A norma foi desenvolvida com base nos princípios da boa governança, proporcionalidade, 
transparência e sustentabilidade. 
Escopo da ISO 37001:16 
Especifíca e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica 
e melhoria de um sistema de gestão antissuborno. O sistema pode ser independente ou pode ser 
integrado a um sistema de gestão global, e aborda o SUBORNO em relação às diferentes atividades e 
esferas de atuação de uma organização: 
 Suborno nos setores público, privado e sem fins lucrativos; 
 Suborno conduzido pela organização: 
 Suborno conduzido pelo pessoal da organização atuando em nome da organização ou para seu 
benefício; 
 Suborno conduzido pelo parceiro de negócio da organização atuando em nome da organização 
ou para seu benefício; 
 Suborno da organização; Suborno do pessoal da organização em relação às atividades da organização; 
 Suborno do parceiro de negócio da organização em relação às atividades da organização; 
5 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 Suborno direto ou indireto (por exemplo, um suborno oferecido ou aceito por meio ou por uma 
terceira parte). 
 
A norma não aborda especificamente fraude, cartéis, truste, práticas anticoncorrenciais, lavagem de 
dinheiro e outras atividades relacionadas a práticas corruptas, embora uma organização possa 
escolher ampliar o escopo do sistema de gestão para incluir essas práticas. 
Vale ressaltar que a Lei 12.846 aborda a corrupção em relação aos agentes e órgãos públicos. 
Sendo assim, a ISO 37001:16 é mais abrangente quando aborda a corrupção do privado x privado e 
serve de ferramenta para a criação de uma cultura de integridade, abordando desde delitos menores 
até aqueles de maior abrangência e impacto. 
 
 
 
6 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
HISTÓRICO DO NASCIMENTO DA NORMA E CONTEXTO LEGAL E DE RISCOS 
- GLOBAL E LOCAL 
 
Após a criação da FCPA (Foreign Corrupt Practices Act), em 
1977, com o objetivo central de combater práticas de 
corrupção de empresas americanas no exterior, os Estados 
Unidos se viram em desvantagem no mundo de negócios 
globalizado, pois importantes potências econômicas não 
haviam criado mecanismos legais semelhantes para 
combater a corrupção de suas empresas que atuavam no 
exterior, o que permitia níveis diferentes de 
competitividade, pois, alguns países, além de não coibir 
tais práticas, ainda permitiam a possibilidade de que suas 
empresas contabilizassem despesas com corrupção 
realizada em outros países em seus demonstrativos para 
fins de abatimento de Imposto de Renda. 
 
 
 
 
 
Os Estados Unidos, usando sua diplomacia, iniciaram uma campanha ativa contra subornos, 
pressionando outros países, por tratados e ações de organizações internacionais, a que adotassem 
práticas semelhantes. 
 
Em 1989, a OCDE - Organização para a Cooperação e Desenvolvimento Econômico montou uma força 
tarefa para analisar as legislações nacionais dos países-membros no que tange ao suborno de oficiais 
públicos estrangeiros, resultando em uma recomendação oficial do Conselho Ministerial dos países da 
OCDE, em 1994, tratando de suborno em transações internacionais. As recomendações finalmente 
formaram a base para a Convenção Anticorrupção, assinada em 1997, e que entrou em vigor em 1999. 
A Convenção está alinhada às ações da ONU – Organização das Nações Unidas, do Banco Mundial, do 
FMI - Fundo Monetário Internacional, da OMC – Organização Mundial do Comércio e da OEA – 
Organização dos Estados Americanos, sendo que mais de 40 países ratificaram essa Convenção. 
 
A ONU também tomou o tema para si, já que nem todos os países que se comprometeram com a 
Convenção eram membros da OCDE e, desde 1996, a corrupção começou a ser tema de interesse dos 
mais variados países, que, em escala regional, iniciaram tratativas para a celebração de acordos de 
colaboração referentes ao tema. 
 
No entanto, em decorrência da dimensão inicial das negociações, as primeiras convenções firmadas 
contemplavam apenas os Estados compreendidos dentro de uma mesma região sem que houvesse 
alcance em nível global. Além disso, alguns acordos possuíam escopo limitado a objetos específicos, 
como, por exemplo, suborno e uso inadequado de informações privilegiadas. 
 
Neste contexto, a comunidade internacional manifestou interesse em delinear um acordo com eficácia 
global e que fosse capaz de prevenir e combater a corrupção em suas diversas formas. Assim, nasceu 
a Convenção das Nações Unidas contra a Corrupção, resultando na ampliação dos marcos legais em 
nível global, e alguns com efeitos transnacionais. 
 
7 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
O Brasil não ficou de fora: pressionado pela OCDE e pelas manifestações populares de milhares 
de brasileiros em apoio ao combate à corrupção, o país promulga a Lei Anticorrupção no. 
12.846/13, regulamentada posteriormente pelo Decreto 8.420/15. 
 
 
 
Embora o Brasil ainda não seja membro da OCDE, uma série de esforços de aproximação têm ocorrido 
nos últimos anos e, em 2015, foi apresentado o Estudo Econômico do Brasil - 2015 da OCDE, que 
propôs recomendações sobre comércio exterior, saúde, tributação, administração pública, entre 
outras. Com base nesse estudo, foi lançado o Programa de Trabalho conjunto OCDE – Brasil 2016/2017, 
que utiliza as melhores práticas coletadas pela OCDE para promover avanços no país, em áreas como 
investimentos nacionais e estrangeiros, financiamentos de projetos e desempenho no comércio 
internacional. Vale lembrar, que os relatórios e estudos da OCDE gozam de credibilidade perante 
organizações como Banco Mundial, FMI e OMC, o que amplia a pressão sobre o país para a adoção de 
boas práticas internacionais. 
Surge um marco legal mundial como resposta aos compromissos dos diversos países que assinaram as 
convenções de combate ao suborno, trazendo outras fontes de riscos para as organizações de todo o 
mundo. Isto exige da Governança das organizações novas medidas em perspectiva sistêmica. As 
empresas operam em ambientes complexos, onde nem todos os elementos e atitudes podem ser 
controlados, contudo, a liderança pode estabelecer políticas de gestão de riscos e integridade que 
visem à proteção do seu patrimônio e sua marca diante das partes interessadas, podendo responder 
e atuar em atitudes isoladas, protegendo a instituição e seus capitais financeiros, manufaturados, 
sociais, intelectuais e ambientais. 
 
Em termos globais, o principal conjunto regulatório que busca combater a corrupção é: 
 The FCPA - Foreign Corrupt Practices Act (the FCPA) 
 The United Kingdom Bribery Act 2010 (the UK Bribery Act) 
 ASIA – Chinese and Hong Kong anti-corruption Law 
 Additional Asian Domestic Anti-Corruption laws: Japan, South Korea, India, Thailand, Vietnam, 
Indonesia, Malaysia 
 Canadian Anti-Corruption Law 
 Mexican Anti-Corruption Law 
 German Anti-Corruption Law 
 French Anti-Corruption Law 
 Russian Anti-Corruption Law 
 
 
 
 
8 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
BRASIL: LEI ANTICORRUPÇÃO 12.846/13 
 
 
 
A Lei Anticorrupção Brasileira pune as empresas pelos atos praticados contra a administração pública, 
nacional e estrangeira. Os indivíduos são penalizados pelas disposições estabelecidas no Código Penal 
e em leis esparsas, como a Lei de Improbidade Administrativa. 
 
A Lei Anticorrupção Brasileira não é uma lei penal. As multas e sanções ocorrem no âmbito civil e 
administrativo. 
 
A Lei Anticorrupção Brasileira responsabiliza “objetivamente” a pessoa jurídica pelos atos praticados 
por seus indivíduos, não sendo analisados se a empresa teve dolo ou culpa na atuação do ato lesivo 
contra a administração pública. 
 
Os aspectos relevantesda Lei Anticorrupção Brasileira são: 
 
 Aplicação a qualquer pessoa jurídica que tenham sede, filial ou representação no território 
brasileiro, constituídas de fato ou de direito, ainda que temporariamente; 
 Responsabilização solidária entre as entidades do grupo econômico; 
 Responsabilização sucessória nas reorganizações societárias; 
 Extensão dos atos lesivos contra a administração para atos ilícitos também em licitações; 
 Julgamento do ato lesivo através do Processo Administrativo de Responsabilização — PAR; 
 Possibilidade de celebração de acordos de leniência; 
 Cadastro das empresas condenadas no Cadastro Nacional de Empresas Inidôneas e Suspensas 
— CEIS e Cadastro Nacional de Empresas Punidas — CNEP; 
 Incentivo para a implementação de programas de compliance. 
 Atos penalizados pela Anticorrupção Brasileira 
 
A Lei Anticorrupção Brasileira pune os atos lesivos contra a administração pública, nacional ou 
estrangeira. Além de punir atos lesivos praticados em licitações. 
 
Definição de corrupção e atos penalizados de acordo com a Lei Brasileira: 
 
 Prometer, oferecer ou dar, direta ou indiretamente, vantagem indevida a agente público, ou a 
terceira pessoa a ele relacionada; 
 Financiar, custear, patrocinar ou subvencionar a prática dos atos ilícitos; 
9 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 Utilizar-se de interposta pessoa física ou jurídica para ocultar ou dissimular seus reais interesses 
ou a identidade dos beneficiários dos atos praticados; 
 Dificultar investigação ou fiscalização de órgãos, entidades ou agentes públicos, ou intervir em 
sua atuação; 
 Fraudar licitações e contratos com o governo. 
 
Penalidades da Lei Anticorrupção Brasileira 
 
As penalidades da Lei Anticorrupção Brasileira são aplicadas nas esferas administrativas e judiciais. 
 
Na esfera administrativa, as penalidades são: 
 
 Multa de 0,1 a 20,0% do faturamento bruto do último exercício ao início do PAR ou de R$ 
6.000,00 a R$ 60.000.000,00, caso não seja possível utilizar o critério do faturamento bruto; 
 Publicação extraordinária da decisão condenatória a expensas da pessoa jurídica. 
 
Na esfera judicial, as penalidades são: 
 
 Perdimento dos bens, direitos ou valores que representem vantagens ou proveitos, direta ou 
indiretamente, obtidos da infração; 
 Proibição de receber incentivos, subsídios, subvenções, doações ou empréstimos públicos pelo 
prazo de um a cinco anos; 
 Suspensão ou interdição parcial de suas atividades; 
 Dissolução compulsória da pessoa jurídica (ou a “pena de morte” da organização). 
 
Além das penalidades mencionadas acima, a empresa é obrigada a reparar integralmente o dano 
causado. 
 
Ao valor da multa, são também adicionadas as despesas com escritórios forenses na atuação reativa 
para minimizar os impactos de riscos incorridos bem como outros custos por determinação legal, como 
por exemplo um Monitor de Compliance externo e independente. 
 
10 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
 
PRINCIPAL CONJUNTO DE LEIS DE COMBATE A CORRUPÇÃO – BASE PARA PROGRAMAS DE 
COMPLIANCE 
 
 
11 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
CRIAÇÃO DA NORMA, COMO FOI DESENVOLVIDA, QUEM PARTICIPOU 
A ISO 37001 nasceu de uma reunião realizada em Londres, em junho de 2013, e teve o seu escopo e 
título aprovados pelo ISO Technical Management Board, em setembro desse mesmo ano. Em seguida, 
ela foi desenvolvida e validada através do comitê técnico ISO PC 278 Anti-bribery management 
systems, que utilizou como base a BS 10.500, publicada na Inglaterra pelo BSI em novembro de 2011. 
No entanto, buscando facilitar a sua implementação pelas organizações, adotou-se a estrutura 
preconizada para as normas de gestão ISO (anexo SL), inclusive na consideração de sistemas 
integrados. Ao longo do desenvolvimento da norma, foram realizadas quatro reuniões, sendo a 
primeira em Miami (2014), seguida por Paris, Kuala Lampur e México (2016). 
 
 
 
 
 
SEGUNDO O 10º. PRINCÍPIO DO PACTO GLOBAL DA ONU 
 
Suborno é um fenômeno generalizado. Causa sérias preocupações sociais, morais, econômicas e 
políticas, debilita boa governança, dificulta o desenvolvimento e distorce a competição. Corrói a 
justiça, mina os direitos humanos e é um obstáculo para o alívio da pobreza. O suborno também 
aumenta o custo de fazer negócios, introduz incertezas nas transações comerciais, eleva o custo dos 
bens e serviços, diminui a qualidade dos produtos e serviços, o que pode levar à perda de vidas e 
propriedades, destrói a confiança nas instituições e interfere na operação justa e eficiente dos 
mercados. 
 
Governos têm feito progresso ao abordar o suborno por meio de acordos internacionais, tais como a 
Convenção de Combate ao Suborno de Agentes Públicos Estrangeiros nas Transações de Negócios 
Internacionais da Organização para o Desenvolvimento e Cooperação Econômica (OCDE) e a 
Convenção das Nações Unidas contra a Corrupção, e por meio das suas leis nacionais. Na maioria das 
jurisdições, é um delito os indivíduos se envolverem em suborno e existe uma tendência crescente de 
12 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
responsabilizar as organizações, bem como os indivíduos. Apesar disto, a lei sozinha não é suficiente 
para resolver o problema. 
 
Organizações têm, portanto, uma responsabilidade para contribuir proativamente no combate ao 
suborno. Isto pode ser alcançado por meio de um sistema de gestão antissuborno que a norma 
pretende fornecer, e por meio de uma liderança comprometida no estabelecimento de uma cultura 
de integridade, transparência, abertura e compliance. A natureza da cultura de uma organização é 
crucial para o sucesso ou falha de um sistema de gestão antissuborno. 
 
É esperado que uma organização bem gerenciada tenha uma política de compliance apoiada por 
sistemas de gestão apropriados, para auxiliá-la no cumprimento das suas obrigações legais e no 
comprometimento com a integridade. Uma política antissuborno é um componente de uma política 
global de compliance. A política antissuborno e o sistema de gestão de apoio ajuda uma organização 
a evitar ou mitigar os custos, riscos e danos de envolvimento com suborno, promover a confiança nos 
negócios e melhorar a sua reputação. 
 
A Norma ISO 37001 reflete as boas práticas internacionais e pode ser usada em quaisquer jurisdições. 
É aplicável a pequenas, médias e grandes organizações em todos os setores, incluindo os setores 
público, privado e sem fins lucrativos. Os riscos de suborno que uma organização enfrenta variam de 
acordo com fatores tais como o tamanho da organização, as localizações e setores nos quais a 
organização opera, a natureza, escala e complexidade das atividades da organização. Desta forma, esta 
norma especifica a implementação pela organização de políticas, procedimentos e controles que sejam 
razoáveis e proporcionais, de acordo com os riscos de subornoque a organização enfrenta. 
 
 
E define Suborno como: oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida 
de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e 
independente de localização, em violação às leis aplicáveis, como um incentivo ou recompensa para 
uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações. 
 
 
 
13 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
ESTRUTURA DOS TEMAS NA APOSTILA 
SEÇÕES DAS NORMAS 
Para cada seção da norma ISO 37001:16 o treinando encontrará as seguintes informações: 
TERMOS E DEFINIÇÕES 
Os termos e definições seguem os padrões normativos referenciados nesse curso. 
REQUISITOS DA ISO 37001:16 
São apresentados os requisitos mandatórios de implementação para objetivos de declarações de 
conformidade em relação à norma ou certificação acreditada por terceira parte. Para fins de facilitar a 
consulta diretamente à norma, foram indicadas as numerações originais de tais requisitos. 
CORRELAÇAO COM AS DIRETRIZES DA LEI 8.420/15 E O PROGRAMA DE INTEGRIDADE DA CGU 
Logo após cada requisito da ISO 37001:16 destacamos uma correlação com o Decreto 8.420/15, que 
regulamenta a Lei 12.846/13. 
ORIENTAÇÕES PARA USO NO ANEXO “A” DA ISO 37001:16 
As orientações para uso do anexo A contido na norma, são apenas boas práticas que podem ser 
adotadas. São apresentadas dentro de cada seção e requisito. Seu propósito é o de indicar para 
algumas áreas específicas os tipos de ações que uma organização pode adotar ao implementar seu 
sistema de gestão antissuborno. Não há a intenção de ser completa ou prescritiva. Tampouco uma 
organização necessita implementar os passos definidos para que tenha um sistema de gestão 
antissuborno que atenda aos requisitos da norma. 
Convém que os passos que uma organização adote sejam razoáveis e proporcionais em relação à 
natureza e extensão dos riscos de suborno enfrentados pela organização. 
DIRETRIZES DA ISO 19600:14 
Por considerar que as diretrizes para Gestão de Compliance são mais genéricas e amplas do que 
especificamente para suborno, podendo ser utilizadas inclusive para o Suborno, essas virão ao final de 
cada requisito ou seção. 
COMENTÁRIOS GRISCOM 
Para algumas seções ou requisitos, nossos comentários têm objetivo de trazer os conhecimentos 
práticos que não estão descritos na norma. Apenas configuram algumas dicas que podem ser úteis 
durante a implementação da norma. 
 
 
 
 
 
14 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
ESTRUTURA E SEÇÕES DAS NORMAS ISO 37001:16 SISTEMA DE GESTÃO 
ANTISSUBORNO E ISO 19600:14 SISTEMA DE GESTÃO DE COMPLIANCE – 
DIRETRIZES 
 
SEÇÃO 1 - ESCOPO 
Cada norma oferece requisitos, diretrizes e orientações para uso no escopo pretendido. Os escopos da 
ISO 37001:16 e 19000:14 foram descritos na Seção de Introdução ao Curso. 
SEÇÃO 2 - REFERÊNCIAS NORMATIVAS 
Quando houver referências a outras normas, elas estarão citadas ao longo de cada seção. 
SEÇÃO 3 - TERMOS E DEFINIÇÕES 
Os termos e definições foram alocados junto a cada seção ou requisito, para uma leitura mais objetiva. 
SEÇÃO 4 EM DIANTE: REQUISITOS E DIRETRIZES 
 
ANEXO A – ORIENTAÇÕES PARA UTILIZAÇÃO DA NORMA ISO 37001:16 
 
DEFINIÇÃO DE REQUISITO: Necessidade que é declarada e obrigatória. 
 
A única diferença na definição de requisito entre as normas é a Nota 1 que consta somente na norma 
ISO 37001:16. 
 
Nota 1: A definição básica de “” nas normas ISO de sistemas de gestão é “necessidade ou expectativa que é declarada, geralmente 
implícita ou obrigatória”. “geralmente implícitos” não são aplicáveis no contexto da gestão antissuborno. 
 
Nota 2: “Geralmente implícita” (S/C) - significa que é costume ou prática comum para a organização e partes interessadas que a 
necessidade ou expectativa sob consideração estejam implícitas. 
 
Para leitura dessa apostila os requisitos são declarados com o verbo “deve” e as recomendações e 
diretrizes aparecem como “convém”, “exemplos” e especificamente as “orientações para uso da ISO 
37001:16”, identificadas como orientações para uso. 
Quando a norma determinar que a organização “deve reter informações” entende-se como registros 
da realização dos planos, treinamentos, due diligences, processos, controles, etc. 
Quando a norma determinar que a organização “deve manter informação documentada” entende-se 
como formalização de políticas, processos, controles, na forma de procedimentos, planos, etc. 
 
15 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
TABELA DE CORRELAÇÃO DOS REQUISITOS DA ISO 19600:14 E ISO 37001:16 
 O QUE AS NORMAS REQUEREM O QUE AS NORMAS REQUEREM O QUE AS NORMAS REQUEREM O QUE AS NORMAS REQUEREM 
 SEÇÃO SEÇÃO SEÇÃO SEÇÃO ISO 37001ISO 37001ISO 37001ISO 37001 SEÇÃO SEÇÃO SEÇÃO SEÇÃO ISO 19600 ISO 19600 ISO 19600 ISO 19600 
CONTEXTO DA ORGANIZAÇÃO CONTEXTO DA ORGANIZAÇÃO CONTEXTO DA ORGANIZAÇÃO CONTEXTO DA ORGANIZAÇÃO 4.04.04.04.0 4.04.04.04.0 
Entendendo a organização e seu contexto 4.1 4.1 
Entendendo necessidades e expectativas das Partes Interessadas 4.2 4.2 
Determinando o escopo do sistema de Gestão 4.3 4.3 
Sistema de Gestão 4.4 4.4 
Obrigações de Compliance 4.5 
Processo de Avaliação de riscos 4.5 4.6 
LIDERANÇA LIDERANÇA LIDERANÇA LIDERANÇA 5.05.05.05.0 5.0 5.0 5.0 5.0 
Liderança e Comprometimento 5.1 5.1 
Política de Compliance / Política Antissuborno 5.2 5.2 
Papéis, responsabilidades e autoridades organizacionais 5.3 5.3 
PLANEJAMENTO PLANEJAMENTO PLANEJAMENTO PLANEJAMENTO 6.06.06.06.0 6.06.06.06.0 
Ações para abordar Riscos de Compliance (S: Oportunidades) 6.1 6.1 
Objetivos de compliance/antissuborno e planejamento para alcançá-los 6.2 6.2 
APOIO APOIO APOIO APOIO 7.07.07.07.0 7.07.07.07.0 
Recursos 7.1 7.1 
Competência 7.2 7.2 
Conscientização e Treinamento 7.3 7.2 - 7.3 
Comunicação 7.4 7.4 
Informação Documentada 7.5 7.5 
OPERAÇÃO OPERAÇÃO OPERAÇÃO OPERAÇÃO 8.08.08.08.0 8.08.08.08.0 
Planejamento e Controle Operacional 8.1 8.1 
Estabelecendo Controle e Procedimentos 8.2 
Due Diligence 8.2 
Processos Terceirizados 8.3 
Controles Financeiros 8.3 
Controles Não Financeiros 8.4 
Implementação de controles antissuborno por organizações controladas 
e por parceiros de negócios 8.5 
Comprometimento Antissuborno 8.6 
Presentes, Hospitalidade, doações e benefícios similares 8.7 
Gerenciando controles de inadequação de antissuborno 8.8 
Levantando preocupações (canal de denúncia) 8.9 
Investigando e Lidando com o Suborno 8.10 
AVALIAÇÃO DE DESEMPENHO AVALIAÇÃO DE DESEMPENHO AVALIAÇÃO DE DESEMPENHO AVALIAÇÃO DE DESEMPENHO 9.09.09.09.0 9.09.09.09.0 
Monitoramento, medição, análise e avaliação 9.1 9.1 
Auditoria 9.2 9.2 
Análise Crítica pela Direção 9.3 9.3 
Análise Crítica pela Função de Compliance antissuborno 9.4 
MELHORIA MELHORIA MELHORIA MELHORIA 10101010 10101010 
Não Conformidade e Ação Corretiva10.1 10.1 
 
16 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
 
 
SEÇÃO 4: CONTEXTO DA ORGANIZAÇÃO 
 
TERMOS E DEFINIÇÕES 
Organização 
Pessoa ou grupo de pessoas que têm suas próprias funções com responsabilidades, autoridades e 
relações para alcançar seus objetivos. 
 
Requisito 4.1 Entendendo a organização e seu contexto 
A organização deve determinar as questões internas e externas que são pertinentes para o seu 
propósito e que afetam sua capacidade de alcançar os objetivos do seu sistema de gestão 
antissuborno. Estas questões incluem, sem limitação, os seguintes fatores: 
 
a) tamanho, estrutura e delegação de autoridade para tomada de decisão da organização; 
b) localizações e setores nos quais a organização opera ou antecipa a operação; 
c) natureza, escala e complexidade das operações e atividades da organização; 
d) o modelo de negócio da organização; 
e) entidades sobre as quais a organização tenha controle e entidades que exerçam controle sobre a 
organização; 
f) parceiros de negócio da organização; 
17 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
g) a natureza e extensão das interações com agentes públicos; e 
h) obrigações e deveres estatutários, regulatórios, contratuais e profissionais aplicáveis. 
 
 
EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU 
 
 
Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao 
decreto 8420/2015 
3. Análise de Perfil e Riscos 
 
 
 
ORIENTAÇÕES PARA USO PREVISTAS NA NORMA ISO 37001:16 
 
O requisito em 8.5 faz uma distinção entre aquelas organizações sobre as quais a organização tem 
controle e aquelas sobre as quais ela não tem controle. Para os propósitos deste requisito, uma 
organização tem controle sobre outra organização quando ela controla, direta ou indiretamente, a 
gestão da organização. Uma organização pode ter controle, por exemplo, sobre uma subsidiária, joint 
venture ou consórcio através da maioria dos votos do conselho, ou por meio de uma maior 
participação societária. Para fins deste requisito, uma organização não tem controle sobre outra 
organização somente pelo fato de colocar um grande volume de trabalho na outra organização. 
Empresas controladas 
É razoável esperar que a organização requeira que qualquer outra organização que ela controle 
implemente controles antissuborno razoáveis e proporcionais. Isto pode ser feito com a organização 
controlada, implementando o mesmo sistema de gestão antissuborno, como o implementado pela 
própria organização, ou pela organização controlada implementando seus próprios controles 
antissuborno específicos. Convém que estes controles sejam razoáveis e proporcionais, levando-se em 
consideração o processo de avaliação de riscos de suborno que a organização realiza. 
 
Quando um parceiro de negócio é controlado pela organização (p.ex.: uma joint venture sobre a qual 
a organização tem o controle da gestão), então este parceiro de negócio controlado se enquadra no 
requisitos de 8.5. 
 
 
Diretriz da 19:600 
 
Convém que a organização determine as questões externas e internas, como as relacionadas aos riscos 
de compliance, que são pertinentes para a sua finalidade e que afetam sua capacidade de atingir os 
resultados pretendidos do seu sistema de gestão de compliance. Ao fazer isto, convém que a 
organização considere uma ampla série de aspectos externos e internos, como os contextos 
regulamentares, sociais e culturais, a situação econômica e as políticas, procedimentos, processos e 
recursos internos. 
 
 
 
 
 
18 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
 
 
 
 
 
 
 
COMENTÁRIOS GRISCOM 
 
Localizações onde a organização atua: 
De acordo com relatório da TI – Transparência Internacional (2017), o Brazil figura na 96ª. Posição do 
Índice de Percepção de Corrupção, despencando 17 posições em relação a 2016. 
 
 
 
 
 
 
 
 
 
 
 
Ainda com percepção de corrupção similares ao Brasil estão importantes economias da América do 
Sul, não descartando o México e China que mantém importantes relações comerciais com o Brasil. 
 
Também há que se considerar que mesmo dentro do Brasil temos aspectos culturais regionais que 
podem impor diferentes níveis de riscos dentro de uma mesma organização e mesmo segmento de 
negócio. 
 
Independente de região, segmentos que têm elevada dependência de compras governamentais, 
elevadas demandas regulatórias, de licenciamento e registro de produtos estão expostas a maiores 
riscos : Infraestrutura, Embarcações, Desembaraços, Telecomunicações, Aviação, Segurança, 
Famacêutica, Eletromédicos e Médico Hospitalar, Alimentos, entre outras. 
 
E também com recentes escândalos envolvendo organizações em países com baixo índice de 
percepção de corrupção, nos alerta que esse indicador é apenas um referencial, não devendo gerar 
paradigmas para ferramentas como due diligences. 
19 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
Requisito 4.2 Entendendo as necessidades e as expectativas das partes interessadas 
 
 
 
TERMOS E DEFINIÇÕES 
 
Parte interessada (termo preferido) - stakeholder (termo admitido) 
Pessoa ou organização que pode afetar, ser afetada ou se perceber afetada por uma decisão ou 
atividade 
 
 
A redação desse requisito é idêntica nas duas normas somente mudando a palavra de antissuborno 
para compliance na letra (a). 
 
A organização deve determinar: 
a) As partes interessadas que são pertinentes para o sistema de gestão antissuborno; 
b) Os requisitos pertinentes destas partes interessadas. 
 
 
 
EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU 
 
Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao decreto 8420/2015 
3. Análise de Perfil e Riscos 
 
 
 
COMENTÁRIOS GRISCOM 
 
Recomendamos que ao realizar o exercício sobre as necessidades e as expectativas das partes 
interessadas, se aplique critérios adequados de priorização em relação aos impactos sobre os objetivos 
de compliance e antissuborno, levando-se em consideração: dependência, impacto, influência, poder, 
urgência, interação e risco, entre outros. 
 
20 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
Requisito 4.3 Determinando o escopo do sistema de gestão antissuborno 
A organização deve determinar os limites e a aplicabilidade do sistema de gestão antissuborno para 
estabelecer o seu escopo. 
 
Ao determinar esse escopo, a organização deve considerar: 
a) As questões internas e externas referidas em contexto; 
b) Os requisitos referidos em Expectativas das Partes Interessadas; e 
c) Os resultados da avaliação de riscosde suborno. 
 
O escopo deve estar disponível como informação documentada. 
 
ORIENTAÇÕES PARA USO PREVISTAS NA NORMA ISO 37001:16 
 
Sistema de gestão antissuborno independente ou integrado 
 
A organização pode escolher implementar o sistema de gestão antissuborno como um sistema 
separado ou como uma parte integrada de um sistema global de compliance (nesse caso a organização 
pode se referir para orientação à ISO 19600). 
 
Facilitação e pagamentos de extorsão 
 
Pagamento de facilitação é a expressão as vezes atribuída a um pagamento ilegal ou não oficial, 
realizado por serviços os quais o pagador teria legalmente direito de receber sem a realização desse 
pagamento. É normalmente um pagamento de pequeno valor, realizado a um agente público ou 
pessoa com função de aprovação, a fim de assegurar ou acelerar a realização de uma ação de rotina 
ou necessária, como a emissão de visto, permissão de trabalho, desembaraço de mercadorias ou 
instalação de telefone. Apesar de os pagamentos de facilitação serem, frequentemente, considerados 
diferentes em sua natureza de, por exemplo, pagamento de suborno para obtenção de negócios, eles 
são considerados ilegais na maioria dos lugares e são tratados como propina para fins da Norma, e, 
portanto, convém que sejam proibidos pelo sistema de gestão antissuborno da organização. 
 
Um pagamento de extorsão é quando o dinheiro é forçosamente extraído das pessoas por ameaças 
reais, ou percebidas à saúde, segurança ou liberdade, e está fora do escopo desta Norma. A segurança 
e a liberdade de uma pessoa são primordiais, e muitos sistemas jurídicos não criminalizam a realização 
de pagamento por alguém que, razoavelmente, tema por sua saúde, segurança ou liberdade, ou de 
outros. O organização pode ter uma política que permita o pagamento pelo pessoal em circunstâncias 
onde eles estejam em perigo iminente à saúde, segurança ou liberdade ou de outros. 
 
Convém que a organização forneça orientações específicas ao pessoal que pode ser confrontado com 
pedidos ou demandas para estes pagamentos sobre como evitá-los, ou lidar com eles. Tais orientações 
podem incluir, por exemplo: 
Especificar ação a ser tomada por qualquer pessoal confrontado com pedido de pagamento, tais como: 
1) no caso de pagamento de facilitação, solicitar prova de que o pagamento é legítimo e requerer um 
recibo oficial e, caso não haja comprovação satisfatória, recusar o pagamento; 
2) no caso de pagamento mediante extorsão, realizar o pagamento de sua saúde, segurança ou 
liberdade, ou de outrem, estiver ameaçada; 
 
21 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
Especificar ação a ser adotada por pessoal que tenha realizado pagamentos de facilitação ou mediante 
extorsão: 
Efetuar o registro do evento; 
Reportar o evento para um gerente apropriado ou para a função de compliance antissuborno; 
 
Especificar a ação a ser adotada pela organização quando o pessoal tiver efetuado o pagamento de 
facilitação ou de extorsão: 
1) Designar um gerente apropriado para investigar o evento (preferencialmente a função de 
compliance antissuborno ou um gerente que seja independente do departamento ou da função do 
pessoal); 
2) Registrar corretamente os pagamentos na contabilidade da organização; 
Se apropriado, ou se requerido por lei, reportar o pagamento às autoridades pertinentes. 
 
 
Diretriz da 19:600 
 
Convém que a organização determine os limites e a aplicabilidade do sistema de gestão de compliance 
para estabelecer o seu escopo. 
NOTA: O escopo do sistema de gestão de compliance é destinado a esclarecer os limites geográficos 
e/ou organizacionais aos quais se aplica o sistema de gestão de compliance, especialmente se a 
organização for parte de uma organização maior em determinado local. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
22 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
Requisito 4.4 Sistema de gestão 
As duas normas foram escritas com base no Anexo SL da ISO que podem ser espelhadas no 
ciclo PDCA abaixo, considerando que apenas a norma 19600:14 aborda de maneira objetiva 
os Princípios da boa governança no requisito 4.4 Sistema de Gestão. 
Enquanto o requisito 4.4 da ISO 37001:16 é nomeado como Sistema de Gestão Antissuborno, 
o mesmo é nomeado na 19600:14 como Sistema de Gestão de Compliance e Princípios de 
Boa Governança. 
 
 
 
23 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
 
TERMOS E DEFINIÇÕES 
 
Sistema de gestão 
Conjunto de elementos inter-relacionados ou interativos de uma organização para estabelecer 
políticas, objetivos e processos para alcançar esses objetivos 
 
A organização deve estabelecer, documentar, implementar, manter e de forma contínua analisar 
criticamente e, onde necessário, melhorar um sistema de gestão antissuborno, incluindo os processos 
necessários e as suas interações, de acordo com os requisitos da norma. 
O sistema de gestão antissuborno deve conter medidas concebidas para identificar e avaliar o risco, 
bem como prevenir, detectar e responder ao suborno. 
 
 
 
EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU 
 
Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao decreto 8420/2015 
5. Pilares do Programa de Integridade CGU 
 
Decreto 8420/2015 
II - padrões de conduta, código de ética, políticas e procedimentos de integridade, aplicáveis a todos os empregados e 
administradores, independente- mente de cargo ou função exercidos; 
III - padrões de conduta, código de ética e políticas de integridade estendidas, quando necessário,a tereceiros, tais 
como, fornecedores, prestadores de serviço, agentes intermediários e associados. 
 
 
 
ORIENTAÇÕES PARA USO PREVISTAS NA NORMA 
 
Razoável e proporcional 
 
O suborno é geralmente dissimulado. Pode ser difícil prevenir, detectar e responder. Reconhecendo 
essas dificuldades, a intenção geral da Norma é que o órgão diretivo (se existir) e a alta direção de uma 
organização precisem: ter um comprometimento genuíno para prevenir, detectar e responder a 
subornos relacionados ao negócio ou a atividades da organização; com intenção genuína, implementar 
medidas na organização que sejam concebidas para prevenir, detectar e responder a suborno. As 
medidas não podem ser tão caras, onerosas e burocráticas que sejam inacessíveis ou tornem o negócio 
inviável. Tampouco podem ser tão simples e ineficazes que o suborno possa ocorrer facilmente. As 
medidas precisam ser apropriadas ao risco de suborno e convém que tenham chance razoável de 
sucesso em seu objetivo de prevenir, detectar e responder a suborno. 
 
Apesar das medidas antissuborno que precisam ser implementadas serem relativamente bem 
reconhecidas pelas boas práticas internacionais, e de algumas estarem refletidas como requisitos na 
Norma, os detalhes reais das medidas a serem implementadas diferem amplamente de acordo com as 
circunstâncias pertinentes. É impossível prescrever em detalhes o que convém que a organização faça 
em circunstância particular. A qualificação razoável e proporcional foi introduzida na Norma para que 
toda circunstância possa ser julgada de acordo com seu próprio mérito.24 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
Os exemplos a seguir fornecem uma orientação sobre como a qualificação de razoável e proporcional 
pode ser aplicada em relação a diferentes circunstâncias: 
 
a) Uma organização multinacional muito grande poderia precisar lidar com múltiplos níveis de gestão 
e milhares de pessoas. Assim seu sistema de gestão antissuborno tipicamente precisa ser bastante 
mais detalhado do que o de uma pequena organização e com poucas pessoas. 
 
b) Uma organização que tenha atividades em um local com mais do que alto risco de suborno 
precisará, normalmente, do processo de avaliação de riscos de suborno e procedimentos de due 
diligence mais abrangentes, e um nível mais elevado de controle antissuborno sobre suas 
transações de negócios naquele local em que uma organização que tenha atividades somente em 
locais com mais do que baixo risco de suborno, onde o suborno é relativamente raro. 
 
c) Apesar de o risco de suborno existir em relação a muitas transações ou atividades, é provável que 
o processo de avaliação de risco de suborno, os procedimentos de due diligence e os controles 
antissuborno implementados por uma organização envolvida em uma grande, valiosa transação, 
ou em atividades envolvendo uma ampla gama de parceiros do negócio sejam mais abrangentes 
que aqueles implementados por uma organização em relação a um negócio que envolve vender 
itens de pequeno valor a múltiplos clientes ou múltiplas pequenas transações com uma única 
parte. 
 
d) Uma organização com vasta gama de parceiros de negócio pode concluir, como parte de seu 
processo de avaliação de risco de suborno, que seja improvável que certas categorias de parceiros 
do negócio, clientes de varejo, apresentem mais do que um baixo risco de suborno, e levar isso em 
conta na concepção e implementação do seu sistema de gestão antissuborno. Por exemplo, é 
improvável que a due diligence seja necessária ou que seja um controle proporcional e razoável, 
em relação aos clientes de varejo que estão comprando da organização itens como produtos de 
consumo. 
 
Embora exista risco de suborno em relação a muitas transações, convém que uma organização 
implemente um nível mais abrangente de controle antissuborno sobre uma transação de alto risco de 
suborno do que sobre uma transação de baixo risco suborno. Neste contexto, é importante 
compreender que a identificação e aceitação de um baixo risco de suborno não significam que a 
organização aceita o fato do suborno ocorrer. Ou seja, o risco de ocorrência de suborno (se uma 
propina pode ocorrer) não é o mesmo que a ocorrência do suborno (o fato a propina propriamente 
dita). A organização pode ter "tolerância zero" para a ocorrência de suborno, enquanto ainda envolver 
negócios e situações em que haja baixo risco de suborno, ou mais do que um baixo risco (desde de que 
sejam aplicadas medidas de mitigação adequadas). 
 
25 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
Diretrizes da 19600:14 
 
Convém que a organização estabeleça, desenvolva, implemente, avalie, mantenha e melhore 
continuamente um sistema de gestão de compliance, incluindo os processos necessários e suas 
interações, de acordo com a norma, levando em consideração os seguintes princípios de governança: 
 
• Acesso direto da função de compliance ao órgão regulamentador; 
• Independência da função de compliance; 
• Autoridade apropriada e recursos adequados alocados à função de compliance. 
 
Convém que o sistema de gestão de compliance reflita os valores, objetivos, estratégia e riscos de 
compliance da organização. 
 
Identificação das obrigações de compliance 
Convém que a organização identifique sistematicamente as suas obrigações de compliance e as suas 
implicações para as suas atividades, produtos e serviços. Convém que a organização leve estas 
obrigações em consideração no estabelecimento, desenvolvimento, implementação, avaliação, 
manutenção e melhoria do sistema de gestão de compliance. 
Convém que a organização documente suas obrigações de compliance de forma apropriada ao seu 
porte, complexidade, estrutura e operações. 
Convém que fontes de obrigações de compliance incluam s de compliance e possam incluir 
comprometimento de compliance. 
Exemplos de s de compliance incluem: 
 Leis e Regulamentos; 
 Permissões, licenças e outras formas de autorização; 
 Ordens, regras ou diretrizes emitidas pelas agências reguladoras; 
 Decisões de tribunais de justiça ou tribunais administrativos; 
 Tratados, convenções e protocolos; 
 
Exemplos de comprometimento de compliance incluem: 
 Acordos com grupos comunitários ou organizações não governamentais; 
 Acordos com as autoridades públicas e os clientes; 
 Requisitos organizacionais, como as políticas públicas e procedimentos; 
 Princípios voluntários ou Códigos de Prática; 
 Rotulagem voluntária ou compromissos ambientais; 
 Obrigações decorrentes de acordos contratuais com a organização; 
26 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 Normas organizacionais e industriais pertinentes. 
 
Manutenção das obrigações de compliance 
Convém que as organizações disponham de processos para identificar novas leis e alterações de leis, 
regulamentos, códigos e outras obrigações de compliance para assegurar a sua continuidade. Convém 
que as organizações tenham processos para avaliar o impacto das mudanças identificadas e para 
implementar quaisquer mudanças na gestão das obrigações de compliance. 
Exemplos de processos para obtenção de informações sobre as alterações às leis e outras obrigações 
de compliance, incluem: 
 Estar nas listas de distribuição de destinatários de regulamentadores pertinentes; 
 Participar de grupos profissionais; 
 Subscrever serviços de informação pertinentes; 
 Participar de fóruns e seminários empresariais; 
 Monitorar os sites dos regulamentadores; 
 Reunir-se com os regulamentadores; 
 Contatar assessores jurídicos; 
 Monitorar as fontes das obrigações de compliance (por exemplo, declarações de 
regulamentação e decisões judiciais) 
 
 
 
 
 
 
 
 
 
 
 
27 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
Requisito 4.5 Processo de avaliação de riscos de suborno 
 
TERMOS E DEFINIÇÕES 
 
Risco 
 
Efeito da incerteza sobre os objetivos 
 
A organização deve realizar regularmente o processo de avaliação de riscos de suborno que devem: 
a) identificar os riscos de suborno que a organização possa antecipar de forma razoável, em função 
dos fatores listados em 4.1; 
b) analisar, avaliar e priorizar os riscos de suborno identificados; 
c) avaliar a adequação e eficácia dos controles existentes da organização para mitigar os riscos de 
suborno avaliados. 
 
A organização deve estabelecer critérios para avaliar seu nível de risco de suborno, que deve levar em 
conta as políticas e os objetivos da organização.O processo de avaliação de riscos de suborno deve ser analisado criticamente: 
a) em uma base regular, de modo que mudanças e novas informações possam ser apropriadamente 
avaliadas com base no tempo e frequência definidos pela organização; 
b) no caso de uma mudança significativa da estrutura ou atividades da organização. 
 
A organização deve reter informação documentada que demonstre que o processo de avaliação de 
riscos de suborno tem sido realizado e usado para conceber ou melhorar o sistema de gestão 
antissuborno 
 
EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU 
 
Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao decreto 8420/2015 
3. Análise de Perfil e Riscos 
 
Decreto 8420/2015 
V - análise periódica de riscos para realizar adaptações necessárias ao programa de integridade; 
 
 
ORIENTAÇÕES PARA USO PREVISTAS NA NORMA 
 
Processo de avaliação de riscos de suborno 
 
A intenção do processo de avaliação de riscos de suborno requerida em 4.5 é possibilitar à organização 
a constituição de uma base sólida para o seu sistema de gestão antissuborno. Esta avaliação identifica 
os riscos de suborno que serão focados pelo sistema, ou seja, os riscos de suborno considerados 
prioritários pela organização para mitigação do risco de suborno, implementação de controle, alocação 
de pessoal de compliance antissuborno, recursos e atividades. 
 
A seguir é fornecido um exemplo de como a Organização pode optar por realizar esse processo de 
avaliação. 
28 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
a) Selecionar o critério para a avaliação do risco de suborno. Por exemplo, a organização pode 
selecionar um critério em 3 níveis (por ex. "baixo", "médio" e "alto"), um mais detalhado em 5 
ou 7 níveis, ou uma abordagem ainda mais detalhada. Os critérios frequentemente levarão em 
consideração vários fatores, incluindo a natureza do risco de suborno, a probabilidade de 
ocorrência de suborno, e a magnitude das consequências, que convém que ocorram. 
 
b) Avaliar os riscos de suborno apresentados pelo tamanho e estrutura da organização. Uma 
pequena organização, baseada em um único local com controles de gestão centralizados nas 
mãos de poucas pessoas, pode ser capaz de controlar o seu risco de suborno mais facilmente 
do que uma organização muito grande com uma estrutura descentralizada e operando em 
muitos locais; 
 
c) Examinar os locais e setores em que a organização opera ou prevê operar e avaliar o nível de 
risco de suborno que estes locais e setores podem apresentar. Um índice de suborno 
apropriado pode ser usado para auxiliar neste processo de avaliação. Locais ou setores, com 
mais do que alto risco de suborno, podem ser considerados pela organização, por exemplo, 
como de risco "médio" ou "alto", o que pode resultar na organização impor um nível mais 
elevado de controles aplicáveis às suas atividades nesses locais ou setores. 
 
d) Examinar a natureza, escala e complexidade dos tipos de atividades e operações da 
organização. 
 
 
1. Pode, por exemplo, ser mais fácil controlar o risco de suborno em uma organização que 
realiza uma pequena operação de produção em um único local do que em uma 
organização que esteja envolvida em inúmeros projetos de construção de grande porte 
em várias localidades. 
 
2. Algumas atividades podem acarretar riscos de suborno específicos, por exemplo, 
acordos de contrapartidas por meio dos quais o governo adquire produtos ou serviços 
e exige que o fornecedor reinvista alguma proporção do valor do contrato no país da 
aquisição. Convém que a organização tome medidas apropriadas para prevenir que os 
acordos de contrapartida constituam suborno. 
 
e) Examinar os tipos existentes e potenciais de parceiros de negócio da organização por categoria, 
e avaliar o risco de suborno, em princípio, que eles apresentam. Por exemplo: 
 
1. A organização pode ter um grande número de clientes que compram seus produtos de 
valor muito baixo, e que, na prática, representam um mínimo risco de suborno para a 
organização. Neste caso, a organização pode considerar estes clientes como de baixo risco 
de suborno e pode determinar que estes clientes não precisam ter quaisquer controles 
antissuborno específicos a eles relacionados. Alternativamente, a organização pode lidar 
com clientes que compram produtos de valor muito elevado e podem representar um risco 
de suborno significativo (por exemplo, o risco de demandarem suborno da organização 
como contrapartida de pagamentos e aprovações). Estes tipos de clientes podem ser 
considerados, por exemplo, "médio" ou "alto" risco de suborno, e podem requerer um nível 
mais alto de controles antissuborno pela organização. 
 
29 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
2. Diferentes categorias de fornecedores podem representar distintos níveis de risco de 
suborno. Por exemplo, os fornecedores com um escopo muito grande de trabalho, ou que 
poderiam estar em contato com os clientes da organização, ou agentes públicos 
pertinentes, podem representar "médio" ou "alto" risco de suborno. Algumas categorias 
de fornecedores podem ser de "baixo" risco, por exemplo, fornecedores baseados em 
locais de baixo risco de suborno que não têm interface com agentes públicos pertinentes 
para a transação ou clientes da organização. Algumas categorias de fornecedores podem 
representar um risco "muito baixo" de suborno, por exemplo, fornecedores de pequenas 
quantidades de itens de baixo valor, serviços de compras on-line para viagens aéreas ou 
hotéis, etc. A organização pode concluir que os controles antissuborno específicos não 
precisam ser implementados em relação a estes fornecedores de risco baixo ou muito baixo 
de suborno. 
 
3. Agentes ou intermediários que interagem com os clientes da organização ou agentes 
públicos que atuam em nome da organização, provavelmente representam um "médio" ou 
"alto" risco de suborno, especialmente se eles forem pagos com base em comissão ou taxa 
de sucesso. 
 
f) Examinar a natureza e frequência de interações com agentes públicos nacionais ou estrangeiros 
que possam representar um risco de suborno, por exemplo, interações com agentes públicos 
responsáveis pela emissão de licenças e aprovações podem representar um risco de suborno. 
 
g) Examinar as obrigações e deveres legais, regulatórios, contratuais e profissionais aplicáveis, por 
exemplo, a proibição ou limitação de entretenimento de agentes públicos ou da utilização de 
agentes. 
 
h) h) Considerar a extensão na qual a organização é capaz de influenciar ou controlar os riscos 
avaliados. 
 
Os riscos de suborno acima se inter-relacionam. Por exemplo, os fornecedores da mesma categoria 
podem representar riscos de suborno diferentes, dependendo do local em que eles operem. 
 
Tendo avaliado os riscos de suborno pertinentes, a organização pode, então, determinar o tipo e o 
nível de controles antissuborno a serem aplicados a cada categoria de risco, e pode avaliar se os 
controles existentes são adequados. Se não, os controles podem ser apropriadamente aprimorados. 
Por exemplo, um nível de controle mais elevado provavelmente será implementado com relação a 
locais ou categorias de parceiros de negócio de mais do que alto risco de suborno. A organização pode 
determinar que é aceitável ter um nível de controle baixo sobre atividades ou parceiros de negóciocom baixo risco de suborno. Alguns s da Norma excluem expressamente a necessidade de aplicá-los a 
atividades ou parceiros de negócio com baixo risco de suborno (embora a organização possa optar por 
aplicá-los se assim desejar). 
 
A organização pode modificar a natureza da transação, projeto, atividade ou relacionamento de tal 
forma que a natureza e a extensão do risco de suborno sejam reduzidas a um nível que possam ser 
adequadamente gerenciadas pela existência de controles de riscos antissuborno, adicionais ou 
melhorados. 
 
30 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão 
de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
Este exercício de processo de avaliação de riscos de suborno não se destina a ser um exercício extenso 
ou excessivamente complexo, e os resultados da avaliação necessariamente se provarão corretos (por 
exemplo, uma transação avaliada como de baixo risco de suborno pode vir a ter a ocorrência de 
suborno). Na medida do possível, convém que os resultados do processo de avaliação de riscos de 
suborno reflitam os reais riscos de suborno enfrentados pela organização. Convém que o exercício seja 
concebido como uma ferramenta para ajudar a organização a avaliar e priorizar seu risco de suborno, 
e convém que seja analisado criticamente e revisado regularmente com base em mudanças na 
organização ou circunstâncias (por exemplo, novos mercados ou produtos, s legais, experiências 
adquiridas). 
 
 
Diretrizes da ISO 19600:14 
Convém que a organização identifique e avalie os seus requisitos de compliance. Esta avaliação pode 
ser baseada em uma avaliação formal do risco de compliance ou conduzida por abordagens 
alternativas. A avaliação do risco de compliance constitui a base para a implementação do sistema de 
gestão de compliance e para a alocação planejada de recursos e processos apropriados e adequados 
para gerir os riscos de compliance identificados. 
Convém que a organização identifique os riscos de compliance, relacionando as suas obrigações de 
compliance às suas atividades, produtos, serviços e aspectos pertinentes de suas operações, a fim de 
identificar situações em que pode ocorrer o não cumprimento. Convém que a organização identifique 
as causas e consequências do não cumprimento. 
Convém que a organização analise os riscos de compliance, considerando as causas e fontes de não 
cumprimento e a gravidade de suas consequências, bem como a probabilidade de que os não 
cumprimentos e consequências associadas possam ocorrer. As consequências podem incluir, por 
exemplo, danos pessoais e ambientais, perda econômica, danos à sua reputação e responsabilidade 
civil administrativa. 
A avaliação de riscos envolve a comparação do nível de risco de compliance encontrado durante o 
processo de análise com o nível de risco de compliance que a organização pode e está disposta a 
aceitar. Com base nesta comparação, as prioridades podem ser definidas como uma base para 
determinar a necessidade de implementação de controles e a extensão desses controles. 
Convém que os riscos de compliance sejam reavaliados periodicamente e sempre que houver: 
 Atividades, produtos ou serviços novos ou alterados; 
 Alterações na estrutura ou na estratégia da organização; 
 Mudanças externas significativas, como circunstâncias econômico-financeiras, condições de 
mercado, passivos e relacionamento com o cliente; 
 Alterações em obrigações de compliance; 
 Não cumprimentos. 
31 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de 
Gestão de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
COMENTÁRIOS GRISCOM 
 
Guia de Avaliação de Risco de Corrupção – Pacto Global da ONU 
Uma ótima referência para avaliação dos riscos de suborno é o Guia de Avaliação de Risco de 
Corrupção – Global Compact Working Group – UN – 2013, disponível e gratuito no endereço: 
http://ibdee.org.br/wp-content/uploads/2016/02/Guia-de-Avaliac%CC%A7a%CC%83o-de-Risco-
de-Corrupc%CC%A7a%CC%83o.pdf. 
 
 
 
O esquema a seguir representa de forma resumida o processo preconizado para avaliação de 
riscos: 
 
 
 
O documento apresenta ainda uma série de critérios e modelos para aplicação da metodologia. 
Alguns exemplos abaixo: 
Modelo de planilha para registras as várias etapas da avaliação de riscos: 
IDENTIFICAR E 
CLASSIFICAR OS 
CONTROLES DE 
MITIGAÇÃO
CALCULAR O 
RISCO RESIDUAL
DESEVOLVER
PLANO DE AÇÃO
ESTABELECER 
O PROCESSO
IDENTIFICAR
OS RISCOS
CLASSIFICAR O 
RISCO INERENTE
O documento, elaborado por um grupo de trabalho de 
especialistas em apoio ao Pacto Global da ONU, estabelece 
critérios e metodologia claramente definidos e muito bem 
ilustrados para avaliação de riscos de corrupção. Por se tratar 
de Organização reconhecida, recomendamos sua adoção como 
orientador nas avaliações de riscos antissuborno. 
32 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de 
Gestão de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 
Exemplo de critérios para classificação de riscos: 
 
Outro referencial internacionalmente reconhecido e que pode orientar a definição de critérios para 
avaliação de riscos é a família de normas ISO 31000, em especial a norma ISO/IEC 31010:2012 
Gestão de Riscos – Técnicas para Avaliação de Riscos. 
 
33 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de 
Gestão de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
SEÇÃO 5 - LIDERANÇA 
 
TERMOS E DEFINIÇÕES 
 
 
Alta Direção 
Pessoa ou grupo de pessoas que dirige e controla uma no nível mais alto. 
 
 
Órgão diretivo e Conselho de Administração 
Grupo ou órgão que tem a responsabilidade e autoridade finais pelas atividades, governança e 
políticas de uma organização, e ao qual a alta direção se reporta e perante a qual a alta direção é 
considerada responsável. 
 
 
Requisito 5.1 Liderança e comprometimento 
 
Órgão diretivo 
 
Quando a organização tem um órgão diretivo, esse órgão deve demonstrar liderança e 
comprometimento com respeito ao sistema de gestão antissuborno para: 
 
a) aprovar a política antissuborno da organização; 
b) assegurar que a estratégia da organização e a política antissuborno estão alinhadas; 
c) receber e analisar criticamente, a intervalos planejados, informações sobre o conteúdo e a 
operação do sistema de gestão antissuborno da organização; 
d) requerer que os recursos adequados e apropriados necessários para a eficaz operação do 
sistema de gestão antissuborno estejam alocados e atribuídos; 
e) exercer razoável supervisão sobre a implementação do sistema de gestão antissuborno da 
organização pela alta direção e a sua eficácia. 
 
Estas atividades devem ser realizadas pela alta direção se a organização não tiver um órgão diretivo. 
Alta direção 
 
A alta direção deve demostrar liderança e comprometimento com relação ao sistema de gestão 
antissuborno para: 
 
f) assegurar que o sistema de gestão antissuborno, incluindo a política e os objetivos, esteja 
estabelecido, implementado, mantido e analisado criticamente para abordar de forma 
adequada os riscos de suborno da organização; 
g) assegurar a integração dos requsitos do sistema degestão antissuborno nos processos da 
organização; 
34 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de 
Gestão de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
h) disponibilizar recursos adequados e apropriados para a eficaz operação do sistema de gestão 
antissuborno; 
i) comunicar interna e externamente sobre a política antissuborno; 
j) comunicar internamente a importância de uma gestão eficaz antissuborno e da 
conformidade com os requisitos do sistema de gestão antissuborno; 
k) assegurar que o sistema de gestão antissuborno está apropriadamente concebido para 
alcançar seus objetivos; 
l) dirigir e apoiar o pessoal para contribuir para a eficácia do sistema de gestão antissuborno; 
m) promover uma cultura antissuborno apropriada dentro da organização; 
n) promover a melhoria contínua; 
o) apoiar outros papéis pertinentes da gestão para demostrar como sua liderança na prevenção 
e detecção do suborno se aplica às áreas sob sua responsabilidade; 
p) encorajar o uso de procedimentos de relato para subornos reais ou suspeitos; 
q) assegurar que o pessoal não sofrerá retaliação, discriminação ou ação disciplinar por relatos 
feitos de boa fé ou com base em uma razoável convicção de violação ou suspeita de violação 
da política antissuborno da organização, ou por se recusar a participar do suborno, mesmo 
que tal recusa possa resultar na perda de um negócio para a organização (exceto quando o 
individuo participou da violação); 
r) reportar para o órgão diretivo (se existir), a intervalos planejados, sobre o conteúdo e 
operação do sistema de gestão antissuborno e de alegações de subornos sistemáticos ou 
graves. 
 
EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU 
 
Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao decreto 8420/2015 
1.Comprometimento e Apoio da Alta Direção 
 
Decreto 8420/2015 
I - Comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e 
inequívoco ao programa 
 
ORIENTAÇÕES PARA USO PREVISTAS NA NORMA 
 
Muitas organizações têm alguma forma de órgão diretivo (por exemplo, como um conselho de 
administração ou de supervisão), que tem responsabilidades gerais de supervisão no que diz 
respeito à organização. Essas responsabilidades incluem a supervisão sobre o sistema de gestão 
antissuborno da organização. 
No entanto, o órgão diretivo geralmente não exerce a direção do dia-a-dia das atividades da 
organização: esse é o papel da diretoria executiva (por exemplo, o presidente, diretor de 
operações), a qual é referida na Norma como "alta direção". No que diz respeito ao sistema de 
gestão antissuborno convém que o órgão diretivo esteja bem informado sobre o conteúdo e 
operação do sistema de gestão e convém que exerça uma supervisão razoável com relação à 
adequação, eficácia e implementação do sistema de gestão. Convém que receba periodicamente 
informações sobre o desempenho do sistema de gestão por meio do processo de análise crítica da 
direção (que pode caber a todo o corpo diretivo, ou a um comitê do corpo diretivo, como o comitê 
de auditoria). A respeito, convém que a função de compliance antissuborno seja capaz de relatar 
35 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de 
Gestão de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
informações sobre o sistema de gestão diretamente para o órgão diretivo (ou ao comitê 
apropriado). 
 
Algumas organizações particularmente as menores, não têm um órgão diretivo independente, ou 
os papéis do órgão diretivo e da diretoria executiva podem ser combinados em um grupo ou mesmo 
um indivíduo. Nestes casos, o grupo ou o indivíduo terá as responsabilidades atribuídas na Norma 
à alta direção e ao órgão diretivo. 
 
Diretrizes da ISO 19600:14 
Convém que Conselho de administração e a Alta Direção demonstrem liderança e comprometimento com 
relação ao sistema de gestão de compliance por: 
 
a) Estabelecer e defender os valores fundamentais da organização; 
b) Assegurar que os objetivos e a política de compliance sejam estabelecidos e consistentes com os 
valores, objetivos e direcionamento estratégico da organização; 
c) Assegurar que as políticas, procedimentos e processos sejam desenvolvidos e implementados para 
atingir os objetivos de compliance; 
d) Assegurar que os recursos necessários para o sistema de gestão de compliance estejam disponíveis, 
reservados e atribuídos; 
e) Assegurar a integração dos requisitos do sistema de gestão de compliance aos processos do negócio 
da organização; 
f) Comunicar a importância de um sistema de gestão de compliance eficaz e a importância da 
conformidade nos s do sistema de gestão de compliance; 
g) Dirigir e apoiar as pessoas que contribuem para a eficácia do sistema de gestão de compliance; 
h) Apoiar outros papéis de gestão pertinentes para demonstrar à sua liderança como se aplicam as suas 
áreas de responsabilidade de compliance; 
i) Assegurar o alinhamento entre as metas operacionais e as obrigações de compliance; 
j) Estabelecer e manter mecanismos de responsabilização por prestar contas, incluindo o relato 
tempestivo sobre assuntos de compliance, inclusive o não cumprimento; 
k) Assegurar que o sistema de gestão de compliance atinja os seus resultados pretendidos; 
l) Promover melhoria contínua. 
 
Exemplo – um compliance eficaz requer um comprometimento ativo do órgão de controle e da alta 
direção, que permeie toda a organização. o nível de comprometimento é indicado pelo grau em que: 
 
 O órgão regulamentador e todos os níveis da administração demonstrem ativamente o 
comprometimento em estabelecer, desenvolver, implementar, avaliar, manter e melhorar um 
sistema de gestão de compliance eficaz e ágil por meio de suas ações e decisões; 
 A política de compliance seja formalmente aprovada pelo órgão regulamentador; 
 A Alta Direção assuma a responsabilidade por assegurar que o comprometimento com o 
compliance da organização seja realizado plenamente; 
 Todos os níveis de gestão consistentemente transmitam uma mensagem clara (demonstrada por 
palavras e ações) para os empregados de que a organização irá atender às suas obrigações de 
compliance; 
 O comprometimento de compliance seja comunicado amplamente em declarações claras e 
convincentes, apoiadas por ação; 
 A função de compliance seja dada a um nível de autoridade que reflita a importância do 
compliance efetivo e tenha acesso direto ao órgão regulamentador; 
36 
 
www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de 
Gestão de Compliance 
Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 
 Os recursos sejam alocados para o estabelecimento, desenvolvimento, implementação, 
avaliação, manutenção e melhoria de uma cultura sólida de compliance, por meio de atividades 
de conscientização e treinamento. 
 Políticas, procedimentos e processos reflitam não apenas os requisitos legais, mas também 
códigos voluntários e valores fundamentais da organização; 
 A organização atribua e requeira a responsabilização por prestar contas à direção do compliance 
em todos os níveis da organização; 
 Seja necessária uma análise crítica regular do sistema de gestão de compliance; 
 O desempenho de compliance da organização seja continuamente melhorado; 
 Ações corretivas sejam adotadas; 
 
 
COMENTÁRIOS GRISCOM 
 
A continuidade dos negócios