Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. CURSO IN COMPANY MINISTRADO PARA ERNST YOUNG – 15/02/2017 INTERPRETAÇÃO DA ISO 37001:16 SISTEMA DE GESTÃO ANTISSUBORNO – REQUISITOS E ORIENTAÇÕES PARA USO INTERPRETAÇÃO DA ISO 19600:16 SISTEMA DE GESTÃO DE COMPLIANCE – DIRETRIZES NOTA DE ABERTURA: IMPORTANTE A APOSTILA MENCIONA OS REQUISITOS 37001:16 E ISO 19600:14, OS QUAIS FORAM INCLUÍDOS E DISTRIBUÍDOS ENTRE OUTROS TEXTOS E CONTEÚDOS, PARA OS FINS DO TREINAMENTO PROPOSTO PELA GRISCOM. PARA USO TÉCNICO E APLICAÇÃO, A CONSULTA AOS REQUISITOS DAS NORMAS EM REFERÊNCIA DEVE SER REALIZADA DIRETAMENTE AO DOCUMENTO / NORMA TÉCNICA ISO ou NBR-ISO. 2 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. ÍNDICE TEMA PÁGINA Introdução ao Curso 3 Histórico do nascimento da norma e contexto legal e de riscos - global e local 6 Lei Anticorrupção 12.846:13 e seus efeitos 8 Criação da Norma, especialistas e países que participaram 11 Estrutura e Temas da Apostila, Estrutura das Normas e Tabela de Correlação 13 Contexto da Organização 16 Necessidades e expectativas das partes Interessadas 19 Sistema de Gestão 22 Avaliação de Riscos 27 Liderança e Comprometimento 33 Política Antissuborno / Compliance 37 Papéis, responsabilidades e autoridades organizacionais 40 Ações para abordar riscos e oportunidades 48 Objetivos antissuborno / compliance e planejamento para alcança-los 50 Recursos 51 Competência 52 Conscientização e treinamento 56 Comunicação 61 Informação Documentada 64 Planejamento e Controle Operacionais 67 Due Diligence 70 Controles Financeiros 74 Controles não financeiros 75 Controle antissuborno por organizações controladas e por parceiros de negócios 79 Comprometimento antissuborno 84 Presentes, hospitalidade, doações e benefícios similares 86 Levantando preocupações (canais) 90 Investigando e lidando com suborno 91 Monitoramento, medição, análise e avaliação 97 Auditoria Interna 101 Análise Crítica pela Direção 105 Análise Crítica pela função de compliance antissuborno 106 Não Conformidade, ação corretiva e Melhoria Contínua 108 Casos de condenação para exemplificação 112 Referências Bibliográficas 114 3 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. INTRODUÇÃO AO CURSO As organizações que pretendem ser bem-sucedidas em longo prazo precisam desenvolver e manter uma Cultura de Integridade e Compliance, bem como considerar as necessidades e expectativas das partes interessadas. Nesse sentido, integridade e compliance, além de preservarem valor para uma organização, são também a base para a ampliação de sua competitividade e sustentabilidade. O compliance é a consequência do cumprimento das obrigações por uma organização e, para que seja realizado de forma sustentável, é necessário que esteja incorporado na cultura organizacional, refletindo-se, como consequência, no comportamento e atitude de pessoas que trabalham para ela. Guardando-se sempre a ideia de manutenção de sua independência com relação à todas as áreas da empresa, a gestão de compliance deve estar integrada aos processos de gestão financeira, de risco, de qualidade, ambiental, de saúde e segurança da organização, bem como aos seus procedimentos operacionais. Um sistema de gestão de compliance eficaz, e que abrange toda a organização, permite que esta demonstre seu compromisso com o cumprimento das leis pertinentes, incluindo códigos da indústria, normas organizacionais, bem como as normas de boa governança corporativa, boas práticas, ética e expectativas de seus públicos de relacionamento. A abordagem de uma organização quanto ao compliance deve ser moldada pela liderança, ao aplicar valores fundamentais de governança corporativa e padrões éticos e sociais geralmente aceitos. Incorporar o compliance no comportamento das pessoas que trabalham para uma organização depende, sobretudo, da liderança em todos os níveis e da transparência dos valores dessa organização, bem como de um reconhecimento e implementação de medidas para promover um comportamento compatível. Se não for assim em todos os níveis de uma organização, existe o risco do não cumprimento. As organizações estão cada vez mais convencidas de que, por meio da aplicação de valores internamente acordados e da gestão apropriada de compliance, elas podem salvaguardar a sua integridade e evitar ou minimizar os impactos advindos do não cumprimento da legislação. Assim, a integridade e o compliance são elementos-chave de uma boa e diligente gestão. O compliance também contribui para o comportamento socialmente responsável das organizações. A diferença entre a Norma ISO 19600:14 Sistema de Gestão de Compliance – Diretrizes e a Norma ISO 37001:16 – Sistema de Gestão Antissuborno – Requisitos com Orientação para uso é que a primeira não especifica os requisitos, mas fornece diretrizes sobre o sistema de gestão de compliance e as práticas recomendadas. Já a segunda especifica os requisitos e detalha, nas orientações para uso, quais práticas mínimas mundiais são recomendadas para uma boa e eficaz implementação. Normas de requisitos são normas que permitem uma certificação por terceira parte acreditada. As normas de diretrizes permitem que haja uma recomendação de conformidade (não acreditada) quando o sistema de gestão for avaliado por uma terceira parte independente. Os temas a seguir são normalmente abordados nas organizações para definição de política(s) de compliance: 4 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. É importante avaliar o “escopo” que cada norma define para fins de estabelecimento dos sistemas de gestão: Escopo da ISO 19600:14 Fornece orientações para o estabelecimento, desenvolvimento, implementação, avaliação, manutenção e melhoria do sistema de gestão de compliance de forma efetiva e ágil em uma organização. As diretrizes relativas aos sistemas de gestão de compliance são aplicáveis a todos os tipos de organizações. A extensão destas diretrizes depende do porte, estrutura, natureza e complexidade da organização. A norma foi desenvolvida com base nos princípios da boa governança, proporcionalidade, transparência e sustentabilidade. Escopo da ISO 37001:16 Especifíca e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um sistema de gestão antissuborno. O sistema pode ser independente ou pode ser integrado a um sistema de gestão global, e aborda o SUBORNO em relação às diferentes atividades e esferas de atuação de uma organização: Suborno nos setores público, privado e sem fins lucrativos; Suborno conduzido pela organização: Suborno conduzido pelo pessoal da organização atuando em nome da organização ou para seu benefício; Suborno conduzido pelo parceiro de negócio da organização atuando em nome da organização ou para seu benefício; Suborno da organização; Suborno do pessoal da organização em relação às atividades da organização; Suborno do parceiro de negócio da organização em relação às atividades da organização; 5 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Suborno direto ou indireto (por exemplo, um suborno oferecido ou aceito por meio ou por uma terceira parte). A norma não aborda especificamente fraude, cartéis, truste, práticas anticoncorrenciais, lavagem de dinheiro e outras atividades relacionadas a práticas corruptas, embora uma organização possa escolher ampliar o escopo do sistema de gestão para incluir essas práticas. Vale ressaltar que a Lei 12.846 aborda a corrupção em relação aos agentes e órgãos públicos. Sendo assim, a ISO 37001:16 é mais abrangente quando aborda a corrupção do privado x privado e serve de ferramenta para a criação de uma cultura de integridade, abordando desde delitos menores até aqueles de maior abrangência e impacto. 6 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. HISTÓRICO DO NASCIMENTO DA NORMA E CONTEXTO LEGAL E DE RISCOS - GLOBAL E LOCAL Após a criação da FCPA (Foreign Corrupt Practices Act), em 1977, com o objetivo central de combater práticas de corrupção de empresas americanas no exterior, os Estados Unidos se viram em desvantagem no mundo de negócios globalizado, pois importantes potências econômicas não haviam criado mecanismos legais semelhantes para combater a corrupção de suas empresas que atuavam no exterior, o que permitia níveis diferentes de competitividade, pois, alguns países, além de não coibir tais práticas, ainda permitiam a possibilidade de que suas empresas contabilizassem despesas com corrupção realizada em outros países em seus demonstrativos para fins de abatimento de Imposto de Renda. Os Estados Unidos, usando sua diplomacia, iniciaram uma campanha ativa contra subornos, pressionando outros países, por tratados e ações de organizações internacionais, a que adotassem práticas semelhantes. Em 1989, a OCDE - Organização para a Cooperação e Desenvolvimento Econômico montou uma força tarefa para analisar as legislações nacionais dos países-membros no que tange ao suborno de oficiais públicos estrangeiros, resultando em uma recomendação oficial do Conselho Ministerial dos países da OCDE, em 1994, tratando de suborno em transações internacionais. As recomendações finalmente formaram a base para a Convenção Anticorrupção, assinada em 1997, e que entrou em vigor em 1999. A Convenção está alinhada às ações da ONU – Organização das Nações Unidas, do Banco Mundial, do FMI - Fundo Monetário Internacional, da OMC – Organização Mundial do Comércio e da OEA – Organização dos Estados Americanos, sendo que mais de 40 países ratificaram essa Convenção. A ONU também tomou o tema para si, já que nem todos os países que se comprometeram com a Convenção eram membros da OCDE e, desde 1996, a corrupção começou a ser tema de interesse dos mais variados países, que, em escala regional, iniciaram tratativas para a celebração de acordos de colaboração referentes ao tema. No entanto, em decorrência da dimensão inicial das negociações, as primeiras convenções firmadas contemplavam apenas os Estados compreendidos dentro de uma mesma região sem que houvesse alcance em nível global. Além disso, alguns acordos possuíam escopo limitado a objetos específicos, como, por exemplo, suborno e uso inadequado de informações privilegiadas. Neste contexto, a comunidade internacional manifestou interesse em delinear um acordo com eficácia global e que fosse capaz de prevenir e combater a corrupção em suas diversas formas. Assim, nasceu a Convenção das Nações Unidas contra a Corrupção, resultando na ampliação dos marcos legais em nível global, e alguns com efeitos transnacionais. 7 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. O Brasil não ficou de fora: pressionado pela OCDE e pelas manifestações populares de milhares de brasileiros em apoio ao combate à corrupção, o país promulga a Lei Anticorrupção no. 12.846/13, regulamentada posteriormente pelo Decreto 8.420/15. Embora o Brasil ainda não seja membro da OCDE, uma série de esforços de aproximação têm ocorrido nos últimos anos e, em 2015, foi apresentado o Estudo Econômico do Brasil - 2015 da OCDE, que propôs recomendações sobre comércio exterior, saúde, tributação, administração pública, entre outras. Com base nesse estudo, foi lançado o Programa de Trabalho conjunto OCDE – Brasil 2016/2017, que utiliza as melhores práticas coletadas pela OCDE para promover avanços no país, em áreas como investimentos nacionais e estrangeiros, financiamentos de projetos e desempenho no comércio internacional. Vale lembrar, que os relatórios e estudos da OCDE gozam de credibilidade perante organizações como Banco Mundial, FMI e OMC, o que amplia a pressão sobre o país para a adoção de boas práticas internacionais. Surge um marco legal mundial como resposta aos compromissos dos diversos países que assinaram as convenções de combate ao suborno, trazendo outras fontes de riscos para as organizações de todo o mundo. Isto exige da Governança das organizações novas medidas em perspectiva sistêmica. As empresas operam em ambientes complexos, onde nem todos os elementos e atitudes podem ser controlados, contudo, a liderança pode estabelecer políticas de gestão de riscos e integridade que visem à proteção do seu patrimônio e sua marca diante das partes interessadas, podendo responder e atuar em atitudes isoladas, protegendo a instituição e seus capitais financeiros, manufaturados, sociais, intelectuais e ambientais. Em termos globais, o principal conjunto regulatório que busca combater a corrupção é: The FCPA - Foreign Corrupt Practices Act (the FCPA) The United Kingdom Bribery Act 2010 (the UK Bribery Act) ASIA – Chinese and Hong Kong anti-corruption Law Additional Asian Domestic Anti-Corruption laws: Japan, South Korea, India, Thailand, Vietnam, Indonesia, Malaysia Canadian Anti-Corruption Law Mexican Anti-Corruption Law German Anti-Corruption Law French Anti-Corruption Law Russian Anti-Corruption Law 8 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. BRASIL: LEI ANTICORRUPÇÃO 12.846/13 A Lei Anticorrupção Brasileira pune as empresas pelos atos praticados contra a administração pública, nacional e estrangeira. Os indivíduos são penalizados pelas disposições estabelecidas no Código Penal e em leis esparsas, como a Lei de Improbidade Administrativa. A Lei Anticorrupção Brasileira não é uma lei penal. As multas e sanções ocorrem no âmbito civil e administrativo. A Lei Anticorrupção Brasileira responsabiliza “objetivamente” a pessoa jurídica pelos atos praticados por seus indivíduos, não sendo analisados se a empresa teve dolo ou culpa na atuação do ato lesivo contra a administração pública. Os aspectos relevantesda Lei Anticorrupção Brasileira são: Aplicação a qualquer pessoa jurídica que tenham sede, filial ou representação no território brasileiro, constituídas de fato ou de direito, ainda que temporariamente; Responsabilização solidária entre as entidades do grupo econômico; Responsabilização sucessória nas reorganizações societárias; Extensão dos atos lesivos contra a administração para atos ilícitos também em licitações; Julgamento do ato lesivo através do Processo Administrativo de Responsabilização — PAR; Possibilidade de celebração de acordos de leniência; Cadastro das empresas condenadas no Cadastro Nacional de Empresas Inidôneas e Suspensas — CEIS e Cadastro Nacional de Empresas Punidas — CNEP; Incentivo para a implementação de programas de compliance. Atos penalizados pela Anticorrupção Brasileira A Lei Anticorrupção Brasileira pune os atos lesivos contra a administração pública, nacional ou estrangeira. Além de punir atos lesivos praticados em licitações. Definição de corrupção e atos penalizados de acordo com a Lei Brasileira: Prometer, oferecer ou dar, direta ou indiretamente, vantagem indevida a agente público, ou a terceira pessoa a ele relacionada; Financiar, custear, patrocinar ou subvencionar a prática dos atos ilícitos; 9 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Utilizar-se de interposta pessoa física ou jurídica para ocultar ou dissimular seus reais interesses ou a identidade dos beneficiários dos atos praticados; Dificultar investigação ou fiscalização de órgãos, entidades ou agentes públicos, ou intervir em sua atuação; Fraudar licitações e contratos com o governo. Penalidades da Lei Anticorrupção Brasileira As penalidades da Lei Anticorrupção Brasileira são aplicadas nas esferas administrativas e judiciais. Na esfera administrativa, as penalidades são: Multa de 0,1 a 20,0% do faturamento bruto do último exercício ao início do PAR ou de R$ 6.000,00 a R$ 60.000.000,00, caso não seja possível utilizar o critério do faturamento bruto; Publicação extraordinária da decisão condenatória a expensas da pessoa jurídica. Na esfera judicial, as penalidades são: Perdimento dos bens, direitos ou valores que representem vantagens ou proveitos, direta ou indiretamente, obtidos da infração; Proibição de receber incentivos, subsídios, subvenções, doações ou empréstimos públicos pelo prazo de um a cinco anos; Suspensão ou interdição parcial de suas atividades; Dissolução compulsória da pessoa jurídica (ou a “pena de morte” da organização). Além das penalidades mencionadas acima, a empresa é obrigada a reparar integralmente o dano causado. Ao valor da multa, são também adicionadas as despesas com escritórios forenses na atuação reativa para minimizar os impactos de riscos incorridos bem como outros custos por determinação legal, como por exemplo um Monitor de Compliance externo e independente. 10 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. PRINCIPAL CONJUNTO DE LEIS DE COMBATE A CORRUPÇÃO – BASE PARA PROGRAMAS DE COMPLIANCE 11 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. CRIAÇÃO DA NORMA, COMO FOI DESENVOLVIDA, QUEM PARTICIPOU A ISO 37001 nasceu de uma reunião realizada em Londres, em junho de 2013, e teve o seu escopo e título aprovados pelo ISO Technical Management Board, em setembro desse mesmo ano. Em seguida, ela foi desenvolvida e validada através do comitê técnico ISO PC 278 Anti-bribery management systems, que utilizou como base a BS 10.500, publicada na Inglaterra pelo BSI em novembro de 2011. No entanto, buscando facilitar a sua implementação pelas organizações, adotou-se a estrutura preconizada para as normas de gestão ISO (anexo SL), inclusive na consideração de sistemas integrados. Ao longo do desenvolvimento da norma, foram realizadas quatro reuniões, sendo a primeira em Miami (2014), seguida por Paris, Kuala Lampur e México (2016). SEGUNDO O 10º. PRINCÍPIO DO PACTO GLOBAL DA ONU Suborno é um fenômeno generalizado. Causa sérias preocupações sociais, morais, econômicas e políticas, debilita boa governança, dificulta o desenvolvimento e distorce a competição. Corrói a justiça, mina os direitos humanos e é um obstáculo para o alívio da pobreza. O suborno também aumenta o custo de fazer negócios, introduz incertezas nas transações comerciais, eleva o custo dos bens e serviços, diminui a qualidade dos produtos e serviços, o que pode levar à perda de vidas e propriedades, destrói a confiança nas instituições e interfere na operação justa e eficiente dos mercados. Governos têm feito progresso ao abordar o suborno por meio de acordos internacionais, tais como a Convenção de Combate ao Suborno de Agentes Públicos Estrangeiros nas Transações de Negócios Internacionais da Organização para o Desenvolvimento e Cooperação Econômica (OCDE) e a Convenção das Nações Unidas contra a Corrupção, e por meio das suas leis nacionais. Na maioria das jurisdições, é um delito os indivíduos se envolverem em suborno e existe uma tendência crescente de 12 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. responsabilizar as organizações, bem como os indivíduos. Apesar disto, a lei sozinha não é suficiente para resolver o problema. Organizações têm, portanto, uma responsabilidade para contribuir proativamente no combate ao suborno. Isto pode ser alcançado por meio de um sistema de gestão antissuborno que a norma pretende fornecer, e por meio de uma liderança comprometida no estabelecimento de uma cultura de integridade, transparência, abertura e compliance. A natureza da cultura de uma organização é crucial para o sucesso ou falha de um sistema de gestão antissuborno. É esperado que uma organização bem gerenciada tenha uma política de compliance apoiada por sistemas de gestão apropriados, para auxiliá-la no cumprimento das suas obrigações legais e no comprometimento com a integridade. Uma política antissuborno é um componente de uma política global de compliance. A política antissuborno e o sistema de gestão de apoio ajuda uma organização a evitar ou mitigar os custos, riscos e danos de envolvimento com suborno, promover a confiança nos negócios e melhorar a sua reputação. A Norma ISO 37001 reflete as boas práticas internacionais e pode ser usada em quaisquer jurisdições. É aplicável a pequenas, médias e grandes organizações em todos os setores, incluindo os setores público, privado e sem fins lucrativos. Os riscos de suborno que uma organização enfrenta variam de acordo com fatores tais como o tamanho da organização, as localizações e setores nos quais a organização opera, a natureza, escala e complexidade das atividades da organização. Desta forma, esta norma especifica a implementação pela organização de políticas, procedimentos e controles que sejam razoáveis e proporcionais, de acordo com os riscos de subornoque a organização enfrenta. E define Suborno como: oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e independente de localização, em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações. 13 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. ESTRUTURA DOS TEMAS NA APOSTILA SEÇÕES DAS NORMAS Para cada seção da norma ISO 37001:16 o treinando encontrará as seguintes informações: TERMOS E DEFINIÇÕES Os termos e definições seguem os padrões normativos referenciados nesse curso. REQUISITOS DA ISO 37001:16 São apresentados os requisitos mandatórios de implementação para objetivos de declarações de conformidade em relação à norma ou certificação acreditada por terceira parte. Para fins de facilitar a consulta diretamente à norma, foram indicadas as numerações originais de tais requisitos. CORRELAÇAO COM AS DIRETRIZES DA LEI 8.420/15 E O PROGRAMA DE INTEGRIDADE DA CGU Logo após cada requisito da ISO 37001:16 destacamos uma correlação com o Decreto 8.420/15, que regulamenta a Lei 12.846/13. ORIENTAÇÕES PARA USO NO ANEXO “A” DA ISO 37001:16 As orientações para uso do anexo A contido na norma, são apenas boas práticas que podem ser adotadas. São apresentadas dentro de cada seção e requisito. Seu propósito é o de indicar para algumas áreas específicas os tipos de ações que uma organização pode adotar ao implementar seu sistema de gestão antissuborno. Não há a intenção de ser completa ou prescritiva. Tampouco uma organização necessita implementar os passos definidos para que tenha um sistema de gestão antissuborno que atenda aos requisitos da norma. Convém que os passos que uma organização adote sejam razoáveis e proporcionais em relação à natureza e extensão dos riscos de suborno enfrentados pela organização. DIRETRIZES DA ISO 19600:14 Por considerar que as diretrizes para Gestão de Compliance são mais genéricas e amplas do que especificamente para suborno, podendo ser utilizadas inclusive para o Suborno, essas virão ao final de cada requisito ou seção. COMENTÁRIOS GRISCOM Para algumas seções ou requisitos, nossos comentários têm objetivo de trazer os conhecimentos práticos que não estão descritos na norma. Apenas configuram algumas dicas que podem ser úteis durante a implementação da norma. 14 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. ESTRUTURA E SEÇÕES DAS NORMAS ISO 37001:16 SISTEMA DE GESTÃO ANTISSUBORNO E ISO 19600:14 SISTEMA DE GESTÃO DE COMPLIANCE – DIRETRIZES SEÇÃO 1 - ESCOPO Cada norma oferece requisitos, diretrizes e orientações para uso no escopo pretendido. Os escopos da ISO 37001:16 e 19000:14 foram descritos na Seção de Introdução ao Curso. SEÇÃO 2 - REFERÊNCIAS NORMATIVAS Quando houver referências a outras normas, elas estarão citadas ao longo de cada seção. SEÇÃO 3 - TERMOS E DEFINIÇÕES Os termos e definições foram alocados junto a cada seção ou requisito, para uma leitura mais objetiva. SEÇÃO 4 EM DIANTE: REQUISITOS E DIRETRIZES ANEXO A – ORIENTAÇÕES PARA UTILIZAÇÃO DA NORMA ISO 37001:16 DEFINIÇÃO DE REQUISITO: Necessidade que é declarada e obrigatória. A única diferença na definição de requisito entre as normas é a Nota 1 que consta somente na norma ISO 37001:16. Nota 1: A definição básica de “” nas normas ISO de sistemas de gestão é “necessidade ou expectativa que é declarada, geralmente implícita ou obrigatória”. “geralmente implícitos” não são aplicáveis no contexto da gestão antissuborno. Nota 2: “Geralmente implícita” (S/C) - significa que é costume ou prática comum para a organização e partes interessadas que a necessidade ou expectativa sob consideração estejam implícitas. Para leitura dessa apostila os requisitos são declarados com o verbo “deve” e as recomendações e diretrizes aparecem como “convém”, “exemplos” e especificamente as “orientações para uso da ISO 37001:16”, identificadas como orientações para uso. Quando a norma determinar que a organização “deve reter informações” entende-se como registros da realização dos planos, treinamentos, due diligences, processos, controles, etc. Quando a norma determinar que a organização “deve manter informação documentada” entende-se como formalização de políticas, processos, controles, na forma de procedimentos, planos, etc. 15 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. TABELA DE CORRELAÇÃO DOS REQUISITOS DA ISO 19600:14 E ISO 37001:16 O QUE AS NORMAS REQUEREM O QUE AS NORMAS REQUEREM O QUE AS NORMAS REQUEREM O QUE AS NORMAS REQUEREM SEÇÃO SEÇÃO SEÇÃO SEÇÃO ISO 37001ISO 37001ISO 37001ISO 37001 SEÇÃO SEÇÃO SEÇÃO SEÇÃO ISO 19600 ISO 19600 ISO 19600 ISO 19600 CONTEXTO DA ORGANIZAÇÃO CONTEXTO DA ORGANIZAÇÃO CONTEXTO DA ORGANIZAÇÃO CONTEXTO DA ORGANIZAÇÃO 4.04.04.04.0 4.04.04.04.0 Entendendo a organização e seu contexto 4.1 4.1 Entendendo necessidades e expectativas das Partes Interessadas 4.2 4.2 Determinando o escopo do sistema de Gestão 4.3 4.3 Sistema de Gestão 4.4 4.4 Obrigações de Compliance 4.5 Processo de Avaliação de riscos 4.5 4.6 LIDERANÇA LIDERANÇA LIDERANÇA LIDERANÇA 5.05.05.05.0 5.0 5.0 5.0 5.0 Liderança e Comprometimento 5.1 5.1 Política de Compliance / Política Antissuborno 5.2 5.2 Papéis, responsabilidades e autoridades organizacionais 5.3 5.3 PLANEJAMENTO PLANEJAMENTO PLANEJAMENTO PLANEJAMENTO 6.06.06.06.0 6.06.06.06.0 Ações para abordar Riscos de Compliance (S: Oportunidades) 6.1 6.1 Objetivos de compliance/antissuborno e planejamento para alcançá-los 6.2 6.2 APOIO APOIO APOIO APOIO 7.07.07.07.0 7.07.07.07.0 Recursos 7.1 7.1 Competência 7.2 7.2 Conscientização e Treinamento 7.3 7.2 - 7.3 Comunicação 7.4 7.4 Informação Documentada 7.5 7.5 OPERAÇÃO OPERAÇÃO OPERAÇÃO OPERAÇÃO 8.08.08.08.0 8.08.08.08.0 Planejamento e Controle Operacional 8.1 8.1 Estabelecendo Controle e Procedimentos 8.2 Due Diligence 8.2 Processos Terceirizados 8.3 Controles Financeiros 8.3 Controles Não Financeiros 8.4 Implementação de controles antissuborno por organizações controladas e por parceiros de negócios 8.5 Comprometimento Antissuborno 8.6 Presentes, Hospitalidade, doações e benefícios similares 8.7 Gerenciando controles de inadequação de antissuborno 8.8 Levantando preocupações (canal de denúncia) 8.9 Investigando e Lidando com o Suborno 8.10 AVALIAÇÃO DE DESEMPENHO AVALIAÇÃO DE DESEMPENHO AVALIAÇÃO DE DESEMPENHO AVALIAÇÃO DE DESEMPENHO 9.09.09.09.0 9.09.09.09.0 Monitoramento, medição, análise e avaliação 9.1 9.1 Auditoria 9.2 9.2 Análise Crítica pela Direção 9.3 9.3 Análise Crítica pela Função de Compliance antissuborno 9.4 MELHORIA MELHORIA MELHORIA MELHORIA 10101010 10101010 Não Conformidade e Ação Corretiva10.1 10.1 16 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. SEÇÃO 4: CONTEXTO DA ORGANIZAÇÃO TERMOS E DEFINIÇÕES Organização Pessoa ou grupo de pessoas que têm suas próprias funções com responsabilidades, autoridades e relações para alcançar seus objetivos. Requisito 4.1 Entendendo a organização e seu contexto A organização deve determinar as questões internas e externas que são pertinentes para o seu propósito e que afetam sua capacidade de alcançar os objetivos do seu sistema de gestão antissuborno. Estas questões incluem, sem limitação, os seguintes fatores: a) tamanho, estrutura e delegação de autoridade para tomada de decisão da organização; b) localizações e setores nos quais a organização opera ou antecipa a operação; c) natureza, escala e complexidade das operações e atividades da organização; d) o modelo de negócio da organização; e) entidades sobre as quais a organização tenha controle e entidades que exerçam controle sobre a organização; f) parceiros de negócio da organização; 17 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. g) a natureza e extensão das interações com agentes públicos; e h) obrigações e deveres estatutários, regulatórios, contratuais e profissionais aplicáveis. EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao decreto 8420/2015 3. Análise de Perfil e Riscos ORIENTAÇÕES PARA USO PREVISTAS NA NORMA ISO 37001:16 O requisito em 8.5 faz uma distinção entre aquelas organizações sobre as quais a organização tem controle e aquelas sobre as quais ela não tem controle. Para os propósitos deste requisito, uma organização tem controle sobre outra organização quando ela controla, direta ou indiretamente, a gestão da organização. Uma organização pode ter controle, por exemplo, sobre uma subsidiária, joint venture ou consórcio através da maioria dos votos do conselho, ou por meio de uma maior participação societária. Para fins deste requisito, uma organização não tem controle sobre outra organização somente pelo fato de colocar um grande volume de trabalho na outra organização. Empresas controladas É razoável esperar que a organização requeira que qualquer outra organização que ela controle implemente controles antissuborno razoáveis e proporcionais. Isto pode ser feito com a organização controlada, implementando o mesmo sistema de gestão antissuborno, como o implementado pela própria organização, ou pela organização controlada implementando seus próprios controles antissuborno específicos. Convém que estes controles sejam razoáveis e proporcionais, levando-se em consideração o processo de avaliação de riscos de suborno que a organização realiza. Quando um parceiro de negócio é controlado pela organização (p.ex.: uma joint venture sobre a qual a organização tem o controle da gestão), então este parceiro de negócio controlado se enquadra no requisitos de 8.5. Diretriz da 19:600 Convém que a organização determine as questões externas e internas, como as relacionadas aos riscos de compliance, que são pertinentes para a sua finalidade e que afetam sua capacidade de atingir os resultados pretendidos do seu sistema de gestão de compliance. Ao fazer isto, convém que a organização considere uma ampla série de aspectos externos e internos, como os contextos regulamentares, sociais e culturais, a situação econômica e as políticas, procedimentos, processos e recursos internos. 18 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. COMENTÁRIOS GRISCOM Localizações onde a organização atua: De acordo com relatório da TI – Transparência Internacional (2017), o Brazil figura na 96ª. Posição do Índice de Percepção de Corrupção, despencando 17 posições em relação a 2016. Ainda com percepção de corrupção similares ao Brasil estão importantes economias da América do Sul, não descartando o México e China que mantém importantes relações comerciais com o Brasil. Também há que se considerar que mesmo dentro do Brasil temos aspectos culturais regionais que podem impor diferentes níveis de riscos dentro de uma mesma organização e mesmo segmento de negócio. Independente de região, segmentos que têm elevada dependência de compras governamentais, elevadas demandas regulatórias, de licenciamento e registro de produtos estão expostas a maiores riscos : Infraestrutura, Embarcações, Desembaraços, Telecomunicações, Aviação, Segurança, Famacêutica, Eletromédicos e Médico Hospitalar, Alimentos, entre outras. E também com recentes escândalos envolvendo organizações em países com baixo índice de percepção de corrupção, nos alerta que esse indicador é apenas um referencial, não devendo gerar paradigmas para ferramentas como due diligences. 19 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Requisito 4.2 Entendendo as necessidades e as expectativas das partes interessadas TERMOS E DEFINIÇÕES Parte interessada (termo preferido) - stakeholder (termo admitido) Pessoa ou organização que pode afetar, ser afetada ou se perceber afetada por uma decisão ou atividade A redação desse requisito é idêntica nas duas normas somente mudando a palavra de antissuborno para compliance na letra (a). A organização deve determinar: a) As partes interessadas que são pertinentes para o sistema de gestão antissuborno; b) Os requisitos pertinentes destas partes interessadas. EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao decreto 8420/2015 3. Análise de Perfil e Riscos COMENTÁRIOS GRISCOM Recomendamos que ao realizar o exercício sobre as necessidades e as expectativas das partes interessadas, se aplique critérios adequados de priorização em relação aos impactos sobre os objetivos de compliance e antissuborno, levando-se em consideração: dependência, impacto, influência, poder, urgência, interação e risco, entre outros. 20 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Requisito 4.3 Determinando o escopo do sistema de gestão antissuborno A organização deve determinar os limites e a aplicabilidade do sistema de gestão antissuborno para estabelecer o seu escopo. Ao determinar esse escopo, a organização deve considerar: a) As questões internas e externas referidas em contexto; b) Os requisitos referidos em Expectativas das Partes Interessadas; e c) Os resultados da avaliação de riscosde suborno. O escopo deve estar disponível como informação documentada. ORIENTAÇÕES PARA USO PREVISTAS NA NORMA ISO 37001:16 Sistema de gestão antissuborno independente ou integrado A organização pode escolher implementar o sistema de gestão antissuborno como um sistema separado ou como uma parte integrada de um sistema global de compliance (nesse caso a organização pode se referir para orientação à ISO 19600). Facilitação e pagamentos de extorsão Pagamento de facilitação é a expressão as vezes atribuída a um pagamento ilegal ou não oficial, realizado por serviços os quais o pagador teria legalmente direito de receber sem a realização desse pagamento. É normalmente um pagamento de pequeno valor, realizado a um agente público ou pessoa com função de aprovação, a fim de assegurar ou acelerar a realização de uma ação de rotina ou necessária, como a emissão de visto, permissão de trabalho, desembaraço de mercadorias ou instalação de telefone. Apesar de os pagamentos de facilitação serem, frequentemente, considerados diferentes em sua natureza de, por exemplo, pagamento de suborno para obtenção de negócios, eles são considerados ilegais na maioria dos lugares e são tratados como propina para fins da Norma, e, portanto, convém que sejam proibidos pelo sistema de gestão antissuborno da organização. Um pagamento de extorsão é quando o dinheiro é forçosamente extraído das pessoas por ameaças reais, ou percebidas à saúde, segurança ou liberdade, e está fora do escopo desta Norma. A segurança e a liberdade de uma pessoa são primordiais, e muitos sistemas jurídicos não criminalizam a realização de pagamento por alguém que, razoavelmente, tema por sua saúde, segurança ou liberdade, ou de outros. O organização pode ter uma política que permita o pagamento pelo pessoal em circunstâncias onde eles estejam em perigo iminente à saúde, segurança ou liberdade ou de outros. Convém que a organização forneça orientações específicas ao pessoal que pode ser confrontado com pedidos ou demandas para estes pagamentos sobre como evitá-los, ou lidar com eles. Tais orientações podem incluir, por exemplo: Especificar ação a ser tomada por qualquer pessoal confrontado com pedido de pagamento, tais como: 1) no caso de pagamento de facilitação, solicitar prova de que o pagamento é legítimo e requerer um recibo oficial e, caso não haja comprovação satisfatória, recusar o pagamento; 2) no caso de pagamento mediante extorsão, realizar o pagamento de sua saúde, segurança ou liberdade, ou de outrem, estiver ameaçada; 21 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Especificar ação a ser adotada por pessoal que tenha realizado pagamentos de facilitação ou mediante extorsão: Efetuar o registro do evento; Reportar o evento para um gerente apropriado ou para a função de compliance antissuborno; Especificar a ação a ser adotada pela organização quando o pessoal tiver efetuado o pagamento de facilitação ou de extorsão: 1) Designar um gerente apropriado para investigar o evento (preferencialmente a função de compliance antissuborno ou um gerente que seja independente do departamento ou da função do pessoal); 2) Registrar corretamente os pagamentos na contabilidade da organização; Se apropriado, ou se requerido por lei, reportar o pagamento às autoridades pertinentes. Diretriz da 19:600 Convém que a organização determine os limites e a aplicabilidade do sistema de gestão de compliance para estabelecer o seu escopo. NOTA: O escopo do sistema de gestão de compliance é destinado a esclarecer os limites geográficos e/ou organizacionais aos quais se aplica o sistema de gestão de compliance, especialmente se a organização for parte de uma organização maior em determinado local. 22 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Requisito 4.4 Sistema de gestão As duas normas foram escritas com base no Anexo SL da ISO que podem ser espelhadas no ciclo PDCA abaixo, considerando que apenas a norma 19600:14 aborda de maneira objetiva os Princípios da boa governança no requisito 4.4 Sistema de Gestão. Enquanto o requisito 4.4 da ISO 37001:16 é nomeado como Sistema de Gestão Antissuborno, o mesmo é nomeado na 19600:14 como Sistema de Gestão de Compliance e Princípios de Boa Governança. 23 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. TERMOS E DEFINIÇÕES Sistema de gestão Conjunto de elementos inter-relacionados ou interativos de uma organização para estabelecer políticas, objetivos e processos para alcançar esses objetivos A organização deve estabelecer, documentar, implementar, manter e de forma contínua analisar criticamente e, onde necessário, melhorar um sistema de gestão antissuborno, incluindo os processos necessários e as suas interações, de acordo com os requisitos da norma. O sistema de gestão antissuborno deve conter medidas concebidas para identificar e avaliar o risco, bem como prevenir, detectar e responder ao suborno. EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao decreto 8420/2015 5. Pilares do Programa de Integridade CGU Decreto 8420/2015 II - padrões de conduta, código de ética, políticas e procedimentos de integridade, aplicáveis a todos os empregados e administradores, independente- mente de cargo ou função exercidos; III - padrões de conduta, código de ética e políticas de integridade estendidas, quando necessário,a tereceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados. ORIENTAÇÕES PARA USO PREVISTAS NA NORMA Razoável e proporcional O suborno é geralmente dissimulado. Pode ser difícil prevenir, detectar e responder. Reconhecendo essas dificuldades, a intenção geral da Norma é que o órgão diretivo (se existir) e a alta direção de uma organização precisem: ter um comprometimento genuíno para prevenir, detectar e responder a subornos relacionados ao negócio ou a atividades da organização; com intenção genuína, implementar medidas na organização que sejam concebidas para prevenir, detectar e responder a suborno. As medidas não podem ser tão caras, onerosas e burocráticas que sejam inacessíveis ou tornem o negócio inviável. Tampouco podem ser tão simples e ineficazes que o suborno possa ocorrer facilmente. As medidas precisam ser apropriadas ao risco de suborno e convém que tenham chance razoável de sucesso em seu objetivo de prevenir, detectar e responder a suborno. Apesar das medidas antissuborno que precisam ser implementadas serem relativamente bem reconhecidas pelas boas práticas internacionais, e de algumas estarem refletidas como requisitos na Norma, os detalhes reais das medidas a serem implementadas diferem amplamente de acordo com as circunstâncias pertinentes. É impossível prescrever em detalhes o que convém que a organização faça em circunstância particular. A qualificação razoável e proporcional foi introduzida na Norma para que toda circunstância possa ser julgada de acordo com seu próprio mérito.24 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Os exemplos a seguir fornecem uma orientação sobre como a qualificação de razoável e proporcional pode ser aplicada em relação a diferentes circunstâncias: a) Uma organização multinacional muito grande poderia precisar lidar com múltiplos níveis de gestão e milhares de pessoas. Assim seu sistema de gestão antissuborno tipicamente precisa ser bastante mais detalhado do que o de uma pequena organização e com poucas pessoas. b) Uma organização que tenha atividades em um local com mais do que alto risco de suborno precisará, normalmente, do processo de avaliação de riscos de suborno e procedimentos de due diligence mais abrangentes, e um nível mais elevado de controle antissuborno sobre suas transações de negócios naquele local em que uma organização que tenha atividades somente em locais com mais do que baixo risco de suborno, onde o suborno é relativamente raro. c) Apesar de o risco de suborno existir em relação a muitas transações ou atividades, é provável que o processo de avaliação de risco de suborno, os procedimentos de due diligence e os controles antissuborno implementados por uma organização envolvida em uma grande, valiosa transação, ou em atividades envolvendo uma ampla gama de parceiros do negócio sejam mais abrangentes que aqueles implementados por uma organização em relação a um negócio que envolve vender itens de pequeno valor a múltiplos clientes ou múltiplas pequenas transações com uma única parte. d) Uma organização com vasta gama de parceiros de negócio pode concluir, como parte de seu processo de avaliação de risco de suborno, que seja improvável que certas categorias de parceiros do negócio, clientes de varejo, apresentem mais do que um baixo risco de suborno, e levar isso em conta na concepção e implementação do seu sistema de gestão antissuborno. Por exemplo, é improvável que a due diligence seja necessária ou que seja um controle proporcional e razoável, em relação aos clientes de varejo que estão comprando da organização itens como produtos de consumo. Embora exista risco de suborno em relação a muitas transações, convém que uma organização implemente um nível mais abrangente de controle antissuborno sobre uma transação de alto risco de suborno do que sobre uma transação de baixo risco suborno. Neste contexto, é importante compreender que a identificação e aceitação de um baixo risco de suborno não significam que a organização aceita o fato do suborno ocorrer. Ou seja, o risco de ocorrência de suborno (se uma propina pode ocorrer) não é o mesmo que a ocorrência do suborno (o fato a propina propriamente dita). A organização pode ter "tolerância zero" para a ocorrência de suborno, enquanto ainda envolver negócios e situações em que haja baixo risco de suborno, ou mais do que um baixo risco (desde de que sejam aplicadas medidas de mitigação adequadas). 25 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Diretrizes da 19600:14 Convém que a organização estabeleça, desenvolva, implemente, avalie, mantenha e melhore continuamente um sistema de gestão de compliance, incluindo os processos necessários e suas interações, de acordo com a norma, levando em consideração os seguintes princípios de governança: • Acesso direto da função de compliance ao órgão regulamentador; • Independência da função de compliance; • Autoridade apropriada e recursos adequados alocados à função de compliance. Convém que o sistema de gestão de compliance reflita os valores, objetivos, estratégia e riscos de compliance da organização. Identificação das obrigações de compliance Convém que a organização identifique sistematicamente as suas obrigações de compliance e as suas implicações para as suas atividades, produtos e serviços. Convém que a organização leve estas obrigações em consideração no estabelecimento, desenvolvimento, implementação, avaliação, manutenção e melhoria do sistema de gestão de compliance. Convém que a organização documente suas obrigações de compliance de forma apropriada ao seu porte, complexidade, estrutura e operações. Convém que fontes de obrigações de compliance incluam s de compliance e possam incluir comprometimento de compliance. Exemplos de s de compliance incluem: Leis e Regulamentos; Permissões, licenças e outras formas de autorização; Ordens, regras ou diretrizes emitidas pelas agências reguladoras; Decisões de tribunais de justiça ou tribunais administrativos; Tratados, convenções e protocolos; Exemplos de comprometimento de compliance incluem: Acordos com grupos comunitários ou organizações não governamentais; Acordos com as autoridades públicas e os clientes; Requisitos organizacionais, como as políticas públicas e procedimentos; Princípios voluntários ou Códigos de Prática; Rotulagem voluntária ou compromissos ambientais; Obrigações decorrentes de acordos contratuais com a organização; 26 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Normas organizacionais e industriais pertinentes. Manutenção das obrigações de compliance Convém que as organizações disponham de processos para identificar novas leis e alterações de leis, regulamentos, códigos e outras obrigações de compliance para assegurar a sua continuidade. Convém que as organizações tenham processos para avaliar o impacto das mudanças identificadas e para implementar quaisquer mudanças na gestão das obrigações de compliance. Exemplos de processos para obtenção de informações sobre as alterações às leis e outras obrigações de compliance, incluem: Estar nas listas de distribuição de destinatários de regulamentadores pertinentes; Participar de grupos profissionais; Subscrever serviços de informação pertinentes; Participar de fóruns e seminários empresariais; Monitorar os sites dos regulamentadores; Reunir-se com os regulamentadores; Contatar assessores jurídicos; Monitorar as fontes das obrigações de compliance (por exemplo, declarações de regulamentação e decisões judiciais) 27 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Requisito 4.5 Processo de avaliação de riscos de suborno TERMOS E DEFINIÇÕES Risco Efeito da incerteza sobre os objetivos A organização deve realizar regularmente o processo de avaliação de riscos de suborno que devem: a) identificar os riscos de suborno que a organização possa antecipar de forma razoável, em função dos fatores listados em 4.1; b) analisar, avaliar e priorizar os riscos de suborno identificados; c) avaliar a adequação e eficácia dos controles existentes da organização para mitigar os riscos de suborno avaliados. A organização deve estabelecer critérios para avaliar seu nível de risco de suborno, que deve levar em conta as políticas e os objetivos da organização.O processo de avaliação de riscos de suborno deve ser analisado criticamente: a) em uma base regular, de modo que mudanças e novas informações possam ser apropriadamente avaliadas com base no tempo e frequência definidos pela organização; b) no caso de uma mudança significativa da estrutura ou atividades da organização. A organização deve reter informação documentada que demonstre que o processo de avaliação de riscos de suborno tem sido realizado e usado para conceber ou melhorar o sistema de gestão antissuborno EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao decreto 8420/2015 3. Análise de Perfil e Riscos Decreto 8420/2015 V - análise periódica de riscos para realizar adaptações necessárias ao programa de integridade; ORIENTAÇÕES PARA USO PREVISTAS NA NORMA Processo de avaliação de riscos de suborno A intenção do processo de avaliação de riscos de suborno requerida em 4.5 é possibilitar à organização a constituição de uma base sólida para o seu sistema de gestão antissuborno. Esta avaliação identifica os riscos de suborno que serão focados pelo sistema, ou seja, os riscos de suborno considerados prioritários pela organização para mitigação do risco de suborno, implementação de controle, alocação de pessoal de compliance antissuborno, recursos e atividades. A seguir é fornecido um exemplo de como a Organização pode optar por realizar esse processo de avaliação. 28 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. a) Selecionar o critério para a avaliação do risco de suborno. Por exemplo, a organização pode selecionar um critério em 3 níveis (por ex. "baixo", "médio" e "alto"), um mais detalhado em 5 ou 7 níveis, ou uma abordagem ainda mais detalhada. Os critérios frequentemente levarão em consideração vários fatores, incluindo a natureza do risco de suborno, a probabilidade de ocorrência de suborno, e a magnitude das consequências, que convém que ocorram. b) Avaliar os riscos de suborno apresentados pelo tamanho e estrutura da organização. Uma pequena organização, baseada em um único local com controles de gestão centralizados nas mãos de poucas pessoas, pode ser capaz de controlar o seu risco de suborno mais facilmente do que uma organização muito grande com uma estrutura descentralizada e operando em muitos locais; c) Examinar os locais e setores em que a organização opera ou prevê operar e avaliar o nível de risco de suborno que estes locais e setores podem apresentar. Um índice de suborno apropriado pode ser usado para auxiliar neste processo de avaliação. Locais ou setores, com mais do que alto risco de suborno, podem ser considerados pela organização, por exemplo, como de risco "médio" ou "alto", o que pode resultar na organização impor um nível mais elevado de controles aplicáveis às suas atividades nesses locais ou setores. d) Examinar a natureza, escala e complexidade dos tipos de atividades e operações da organização. 1. Pode, por exemplo, ser mais fácil controlar o risco de suborno em uma organização que realiza uma pequena operação de produção em um único local do que em uma organização que esteja envolvida em inúmeros projetos de construção de grande porte em várias localidades. 2. Algumas atividades podem acarretar riscos de suborno específicos, por exemplo, acordos de contrapartidas por meio dos quais o governo adquire produtos ou serviços e exige que o fornecedor reinvista alguma proporção do valor do contrato no país da aquisição. Convém que a organização tome medidas apropriadas para prevenir que os acordos de contrapartida constituam suborno. e) Examinar os tipos existentes e potenciais de parceiros de negócio da organização por categoria, e avaliar o risco de suborno, em princípio, que eles apresentam. Por exemplo: 1. A organização pode ter um grande número de clientes que compram seus produtos de valor muito baixo, e que, na prática, representam um mínimo risco de suborno para a organização. Neste caso, a organização pode considerar estes clientes como de baixo risco de suborno e pode determinar que estes clientes não precisam ter quaisquer controles antissuborno específicos a eles relacionados. Alternativamente, a organização pode lidar com clientes que compram produtos de valor muito elevado e podem representar um risco de suborno significativo (por exemplo, o risco de demandarem suborno da organização como contrapartida de pagamentos e aprovações). Estes tipos de clientes podem ser considerados, por exemplo, "médio" ou "alto" risco de suborno, e podem requerer um nível mais alto de controles antissuborno pela organização. 29 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. 2. Diferentes categorias de fornecedores podem representar distintos níveis de risco de suborno. Por exemplo, os fornecedores com um escopo muito grande de trabalho, ou que poderiam estar em contato com os clientes da organização, ou agentes públicos pertinentes, podem representar "médio" ou "alto" risco de suborno. Algumas categorias de fornecedores podem ser de "baixo" risco, por exemplo, fornecedores baseados em locais de baixo risco de suborno que não têm interface com agentes públicos pertinentes para a transação ou clientes da organização. Algumas categorias de fornecedores podem representar um risco "muito baixo" de suborno, por exemplo, fornecedores de pequenas quantidades de itens de baixo valor, serviços de compras on-line para viagens aéreas ou hotéis, etc. A organização pode concluir que os controles antissuborno específicos não precisam ser implementados em relação a estes fornecedores de risco baixo ou muito baixo de suborno. 3. Agentes ou intermediários que interagem com os clientes da organização ou agentes públicos que atuam em nome da organização, provavelmente representam um "médio" ou "alto" risco de suborno, especialmente se eles forem pagos com base em comissão ou taxa de sucesso. f) Examinar a natureza e frequência de interações com agentes públicos nacionais ou estrangeiros que possam representar um risco de suborno, por exemplo, interações com agentes públicos responsáveis pela emissão de licenças e aprovações podem representar um risco de suborno. g) Examinar as obrigações e deveres legais, regulatórios, contratuais e profissionais aplicáveis, por exemplo, a proibição ou limitação de entretenimento de agentes públicos ou da utilização de agentes. h) h) Considerar a extensão na qual a organização é capaz de influenciar ou controlar os riscos avaliados. Os riscos de suborno acima se inter-relacionam. Por exemplo, os fornecedores da mesma categoria podem representar riscos de suborno diferentes, dependendo do local em que eles operem. Tendo avaliado os riscos de suborno pertinentes, a organização pode, então, determinar o tipo e o nível de controles antissuborno a serem aplicados a cada categoria de risco, e pode avaliar se os controles existentes são adequados. Se não, os controles podem ser apropriadamente aprimorados. Por exemplo, um nível de controle mais elevado provavelmente será implementado com relação a locais ou categorias de parceiros de negócio de mais do que alto risco de suborno. A organização pode determinar que é aceitável ter um nível de controle baixo sobre atividades ou parceiros de negóciocom baixo risco de suborno. Alguns s da Norma excluem expressamente a necessidade de aplicá-los a atividades ou parceiros de negócio com baixo risco de suborno (embora a organização possa optar por aplicá-los se assim desejar). A organização pode modificar a natureza da transação, projeto, atividade ou relacionamento de tal forma que a natureza e a extensão do risco de suborno sejam reduzidas a um nível que possam ser adequadamente gerenciadas pela existência de controles de riscos antissuborno, adicionais ou melhorados. 30 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Este exercício de processo de avaliação de riscos de suborno não se destina a ser um exercício extenso ou excessivamente complexo, e os resultados da avaliação necessariamente se provarão corretos (por exemplo, uma transação avaliada como de baixo risco de suborno pode vir a ter a ocorrência de suborno). Na medida do possível, convém que os resultados do processo de avaliação de riscos de suborno reflitam os reais riscos de suborno enfrentados pela organização. Convém que o exercício seja concebido como uma ferramenta para ajudar a organização a avaliar e priorizar seu risco de suborno, e convém que seja analisado criticamente e revisado regularmente com base em mudanças na organização ou circunstâncias (por exemplo, novos mercados ou produtos, s legais, experiências adquiridas). Diretrizes da ISO 19600:14 Convém que a organização identifique e avalie os seus requisitos de compliance. Esta avaliação pode ser baseada em uma avaliação formal do risco de compliance ou conduzida por abordagens alternativas. A avaliação do risco de compliance constitui a base para a implementação do sistema de gestão de compliance e para a alocação planejada de recursos e processos apropriados e adequados para gerir os riscos de compliance identificados. Convém que a organização identifique os riscos de compliance, relacionando as suas obrigações de compliance às suas atividades, produtos, serviços e aspectos pertinentes de suas operações, a fim de identificar situações em que pode ocorrer o não cumprimento. Convém que a organização identifique as causas e consequências do não cumprimento. Convém que a organização analise os riscos de compliance, considerando as causas e fontes de não cumprimento e a gravidade de suas consequências, bem como a probabilidade de que os não cumprimentos e consequências associadas possam ocorrer. As consequências podem incluir, por exemplo, danos pessoais e ambientais, perda econômica, danos à sua reputação e responsabilidade civil administrativa. A avaliação de riscos envolve a comparação do nível de risco de compliance encontrado durante o processo de análise com o nível de risco de compliance que a organização pode e está disposta a aceitar. Com base nesta comparação, as prioridades podem ser definidas como uma base para determinar a necessidade de implementação de controles e a extensão desses controles. Convém que os riscos de compliance sejam reavaliados periodicamente e sempre que houver: Atividades, produtos ou serviços novos ou alterados; Alterações na estrutura ou na estratégia da organização; Mudanças externas significativas, como circunstâncias econômico-financeiras, condições de mercado, passivos e relacionamento com o cliente; Alterações em obrigações de compliance; Não cumprimentos. 31 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. COMENTÁRIOS GRISCOM Guia de Avaliação de Risco de Corrupção – Pacto Global da ONU Uma ótima referência para avaliação dos riscos de suborno é o Guia de Avaliação de Risco de Corrupção – Global Compact Working Group – UN – 2013, disponível e gratuito no endereço: http://ibdee.org.br/wp-content/uploads/2016/02/Guia-de-Avaliac%CC%A7a%CC%83o-de-Risco- de-Corrupc%CC%A7a%CC%83o.pdf. O esquema a seguir representa de forma resumida o processo preconizado para avaliação de riscos: O documento apresenta ainda uma série de critérios e modelos para aplicação da metodologia. Alguns exemplos abaixo: Modelo de planilha para registras as várias etapas da avaliação de riscos: IDENTIFICAR E CLASSIFICAR OS CONTROLES DE MITIGAÇÃO CALCULAR O RISCO RESIDUAL DESEVOLVER PLANO DE AÇÃO ESTABELECER O PROCESSO IDENTIFICAR OS RISCOS CLASSIFICAR O RISCO INERENTE O documento, elaborado por um grupo de trabalho de especialistas em apoio ao Pacto Global da ONU, estabelece critérios e metodologia claramente definidos e muito bem ilustrados para avaliação de riscos de corrupção. Por se tratar de Organização reconhecida, recomendamos sua adoção como orientador nas avaliações de riscos antissuborno. 32 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Exemplo de critérios para classificação de riscos: Outro referencial internacionalmente reconhecido e que pode orientar a definição de critérios para avaliação de riscos é a família de normas ISO 31000, em especial a norma ISO/IEC 31010:2012 Gestão de Riscos – Técnicas para Avaliação de Riscos. 33 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. SEÇÃO 5 - LIDERANÇA TERMOS E DEFINIÇÕES Alta Direção Pessoa ou grupo de pessoas que dirige e controla uma no nível mais alto. Órgão diretivo e Conselho de Administração Grupo ou órgão que tem a responsabilidade e autoridade finais pelas atividades, governança e políticas de uma organização, e ao qual a alta direção se reporta e perante a qual a alta direção é considerada responsável. Requisito 5.1 Liderança e comprometimento Órgão diretivo Quando a organização tem um órgão diretivo, esse órgão deve demonstrar liderança e comprometimento com respeito ao sistema de gestão antissuborno para: a) aprovar a política antissuborno da organização; b) assegurar que a estratégia da organização e a política antissuborno estão alinhadas; c) receber e analisar criticamente, a intervalos planejados, informações sobre o conteúdo e a operação do sistema de gestão antissuborno da organização; d) requerer que os recursos adequados e apropriados necessários para a eficaz operação do sistema de gestão antissuborno estejam alocados e atribuídos; e) exercer razoável supervisão sobre a implementação do sistema de gestão antissuborno da organização pela alta direção e a sua eficácia. Estas atividades devem ser realizadas pela alta direção se a organização não tiver um órgão diretivo. Alta direção A alta direção deve demostrar liderança e comprometimento com relação ao sistema de gestão antissuborno para: f) assegurar que o sistema de gestão antissuborno, incluindo a política e os objetivos, esteja estabelecido, implementado, mantido e analisado criticamente para abordar de forma adequada os riscos de suborno da organização; g) assegurar a integração dos requsitos do sistema degestão antissuborno nos processos da organização; 34 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. h) disponibilizar recursos adequados e apropriados para a eficaz operação do sistema de gestão antissuborno; i) comunicar interna e externamente sobre a política antissuborno; j) comunicar internamente a importância de uma gestão eficaz antissuborno e da conformidade com os requisitos do sistema de gestão antissuborno; k) assegurar que o sistema de gestão antissuborno está apropriadamente concebido para alcançar seus objetivos; l) dirigir e apoiar o pessoal para contribuir para a eficácia do sistema de gestão antissuborno; m) promover uma cultura antissuborno apropriada dentro da organização; n) promover a melhoria contínua; o) apoiar outros papéis pertinentes da gestão para demostrar como sua liderança na prevenção e detecção do suborno se aplica às áreas sob sua responsabilidade; p) encorajar o uso de procedimentos de relato para subornos reais ou suspeitos; q) assegurar que o pessoal não sofrerá retaliação, discriminação ou ação disciplinar por relatos feitos de boa fé ou com base em uma razoável convicção de violação ou suspeita de violação da política antissuborno da organização, ou por se recusar a participar do suborno, mesmo que tal recusa possa resultar na perda de um negócio para a organização (exceto quando o individuo participou da violação); r) reportar para o órgão diretivo (se existir), a intervalos planejados, sobre o conteúdo e operação do sistema de gestão antissuborno e de alegações de subornos sistemáticos ou graves. EQUIVALÊNCIA COM DECRETO 8.420 OU PROGRAMA DE INTEGRIDADE CGU Programa de Integridade CGU – Diretrizes para Empresas Privadas – Set/15 para atendimento ao decreto 8420/2015 1.Comprometimento e Apoio da Alta Direção Decreto 8420/2015 I - Comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco ao programa ORIENTAÇÕES PARA USO PREVISTAS NA NORMA Muitas organizações têm alguma forma de órgão diretivo (por exemplo, como um conselho de administração ou de supervisão), que tem responsabilidades gerais de supervisão no que diz respeito à organização. Essas responsabilidades incluem a supervisão sobre o sistema de gestão antissuborno da organização. No entanto, o órgão diretivo geralmente não exerce a direção do dia-a-dia das atividades da organização: esse é o papel da diretoria executiva (por exemplo, o presidente, diretor de operações), a qual é referida na Norma como "alta direção". No que diz respeito ao sistema de gestão antissuborno convém que o órgão diretivo esteja bem informado sobre o conteúdo e operação do sistema de gestão e convém que exerça uma supervisão razoável com relação à adequação, eficácia e implementação do sistema de gestão. Convém que receba periodicamente informações sobre o desempenho do sistema de gestão por meio do processo de análise crítica da direção (que pode caber a todo o corpo diretivo, ou a um comitê do corpo diretivo, como o comitê de auditoria). A respeito, convém que a função de compliance antissuborno seja capaz de relatar 35 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. informações sobre o sistema de gestão diretamente para o órgão diretivo (ou ao comitê apropriado). Algumas organizações particularmente as menores, não têm um órgão diretivo independente, ou os papéis do órgão diretivo e da diretoria executiva podem ser combinados em um grupo ou mesmo um indivíduo. Nestes casos, o grupo ou o indivíduo terá as responsabilidades atribuídas na Norma à alta direção e ao órgão diretivo. Diretrizes da ISO 19600:14 Convém que Conselho de administração e a Alta Direção demonstrem liderança e comprometimento com relação ao sistema de gestão de compliance por: a) Estabelecer e defender os valores fundamentais da organização; b) Assegurar que os objetivos e a política de compliance sejam estabelecidos e consistentes com os valores, objetivos e direcionamento estratégico da organização; c) Assegurar que as políticas, procedimentos e processos sejam desenvolvidos e implementados para atingir os objetivos de compliance; d) Assegurar que os recursos necessários para o sistema de gestão de compliance estejam disponíveis, reservados e atribuídos; e) Assegurar a integração dos requisitos do sistema de gestão de compliance aos processos do negócio da organização; f) Comunicar a importância de um sistema de gestão de compliance eficaz e a importância da conformidade nos s do sistema de gestão de compliance; g) Dirigir e apoiar as pessoas que contribuem para a eficácia do sistema de gestão de compliance; h) Apoiar outros papéis de gestão pertinentes para demonstrar à sua liderança como se aplicam as suas áreas de responsabilidade de compliance; i) Assegurar o alinhamento entre as metas operacionais e as obrigações de compliance; j) Estabelecer e manter mecanismos de responsabilização por prestar contas, incluindo o relato tempestivo sobre assuntos de compliance, inclusive o não cumprimento; k) Assegurar que o sistema de gestão de compliance atinja os seus resultados pretendidos; l) Promover melhoria contínua. Exemplo – um compliance eficaz requer um comprometimento ativo do órgão de controle e da alta direção, que permeie toda a organização. o nível de comprometimento é indicado pelo grau em que: O órgão regulamentador e todos os níveis da administração demonstrem ativamente o comprometimento em estabelecer, desenvolver, implementar, avaliar, manter e melhorar um sistema de gestão de compliance eficaz e ágil por meio de suas ações e decisões; A política de compliance seja formalmente aprovada pelo órgão regulamentador; A Alta Direção assuma a responsabilidade por assegurar que o comprometimento com o compliance da organização seja realizado plenamente; Todos os níveis de gestão consistentemente transmitam uma mensagem clara (demonstrada por palavras e ações) para os empregados de que a organização irá atender às suas obrigações de compliance; O comprometimento de compliance seja comunicado amplamente em declarações claras e convincentes, apoiadas por ação; A função de compliance seja dada a um nível de autoridade que reflita a importância do compliance efetivo e tenha acesso direto ao órgão regulamentador; 36 www.griscom.com.br Apostila Curso Interpretação ISO 37001 Sistema de Gestão Antissuborno e ISO 19600 Sistema de Gestão de Compliance Essa apostila é fornecida em meio digital, podendo ser impressa pelos participantes do treinamento em questão. Os recursos sejam alocados para o estabelecimento, desenvolvimento, implementação, avaliação, manutenção e melhoria de uma cultura sólida de compliance, por meio de atividades de conscientização e treinamento. Políticas, procedimentos e processos reflitam não apenas os requisitos legais, mas também códigos voluntários e valores fundamentais da organização; A organização atribua e requeira a responsabilização por prestar contas à direção do compliance em todos os níveis da organização; Seja necessária uma análise crítica regular do sistema de gestão de compliance; O desempenho de compliance da organização seja continuamente melhorado; Ações corretivas sejam adotadas; COMENTÁRIOS GRISCOM A continuidade dos negócios
Compartilhar