APOSTILA Curso TRADIUS TRD-AUD-0026 - Líder 37k - Rev Mai-2023

26/06/2023
TREINAMENTO ACREDITADO
Implementador e
Auditor Líder de
Sistemas de Gestão
Antissuborno e
Compliance ISO 37001
e ISO 37301
• TRD-AUD-0026
• 24 junho a 17 julho 2023
• Online (ao vivo - videoconferência)
Tradius Treinamento e Desenvolvimento
www.tradius.com.br comercial@tradius.com.br
Todos os direitos reservados
Revisão 17 de Mai/2023
Apresentação
Objetivos
Regras
1
26/06/2023
Boas vindas
A TRADIUS dá as boas vindas a todos os participantes e

deseja um treinamento proveitoso.
Que este período juntos possa proporcionar momentos

de aprendizado, network, novos amigos e diversão, e
que todos saiam melhores e mais competentes.
Sucesso!
Jefferson Carvalho Sócio-diretor

@jeffersoncsilva
@jeffcarvalhooficial
Reflexão
Acreditamos que as ISO 37001 e ISO 37301

podem ser instrumentos robustos entre as
ferramentas para combate à corrupção, e a
formação de pessoal técnico competente e
comprometido com a ética é fundamental, seja para
o bom andamento das auditorias como para uma
percepção de segurança e confiança transmitidas
ao mercado, poder público e sociedade.
Estamos contribuindo com um capítulo importante
da história.
Que este espírito norteie o trabalho de cada um de
vocês.
2
26/06/2023
CONHEÇA A TRADIUS
Tradius Brasil
www.tradius.com.br comercial@tradius.com.br
Todos os direitos reservados
ACREDITAMOS EM CONHECIMENTO QUE TRANSFORMA
O mercado está cansado de serviços de O time TRADIUS é formado por

consultoria, certificação, auditoria e profissionais sênior com forte vivência
treinamento que não agregam valor. técnica, de liderança e gestão, e
experiência internacional
A TRADIUS acredita que a simples
transferência de informação não atende as
expectativas do mercado, que têm esperam
que a contratação de profissionais
especializados forneça o “pulo do gato”, o
“olhar clínico” que somente a experiência
concreta pode fornecer.
Estamos falando de PRAGMATISMO. Estamos

falando de CONFIANÇA. Estamos falando de
CONHECIMENTO que transforma.
3
26/06/2023
SERVIÇOS DE ALTO VALOR
Serviços de ESG (Ambiental, Social e Governança)
Normas técnicas (ISO 37001, 37301, 22301,

CERTIFICAÇÃO 27001, 27002, 27701, 31000, 14001, PRÓ-ÉTICA
etc.) e cadeia de fornecedores
GRC (Governança, Riscos e Compliance)

TREINAMENTO
Proteção de Dados (LGPD) e Cibersegurança
AUDITORIA Sustentabilidade e Responsabilidade Social
Governança Corporativa
CONSULTORIA
Certificações empresariais (selos)
TREINAMENTOS E CERTIFICAÇÕES ACREDITADOS
Governança e confiança
A TRADIUS possui acreditação para a realização de
treinamentos e para certificações empresariais.
Isto significa que somos avaliados periodicamente
por organismo independente, com base em normas
técnicas internacionais
Em particular, somos a primeira certificadora

acreditada para Boas Práticas de Proteção de
Dados (LGPD) e para Programas ESG
4
26/06/2023
FAZEM PARTE DE NOSSA HISTÓRIA*
* Amostragem de clientes
NOSSO CEO (E COORDENADOR TÉCNICO)

• Sócio-diretor da TRADIUS • Experiência de mais de 30 anos em indústria,
serviços técnicos e auditoria
• Conselheiro (governança) certificado
• Cerca de 1.000 auditorias em 30 setores de
• Assessor Especial na ABRAC - Associação
mercado em 18 países em mais de 15 normas
Brasileira de Avaliação da Conformidade
em gestão e ESG (ISO 9001, ISO 14001, SA8000,
(Ex-VP) e Membro do Conselho de Administração ISO 45001, ISO 50001, NBR 16001 etc.)
da AIEC – Associación Interamericara de
Evaluación Conformidad • Liderança das primeiras certificações ISO 37001
e ISO 19600 (substituída pela ISO 37301) no
• Foi CEO para as Américas em Certificadora Brasil, Colômbia, Chile, Portugal e USA
multinacional (RINA), numa carreira técnico-
comercial de 20 anos em certificadora • Integra a Comissão ABNT CEE/309 de Estudos de
Governança (série ISO 37000)
• Diretor de Compliance do Instituto Brasileiro de
Cidades Inteligentes; VP da ABMEF • Foi Membro ABRAC do GT Anticorrupção do Pacto
Jefferson Carvalho Global ONU e atua no GT do CHTEC do PBQP-H
• Administração com ênfase em serviços, Tecnologia no MDR (Ministério do Desenv. Regional)
Whatsapp +55 11 982022763 Mecânica, MBA Gestão Ambiental, MBA Gestão
Estratégica e Econômica de Negócios pela FGV; • Desenvolvimento de políticas públicas ligadas à
@jeffersoncsilva anticorrupção, governança, riscos, compliance e
• Professor convidado em pós-graduações em infraestrutura
@jeffcarvalhooficial Governança, Risco e Compliance (IBMEC, PUC,
UFSCAR, CEDIN, FDV, UNIBP e outras) • Obras escritas, dezenas de artigos e mais de
jefferson.carvalho@tradius.com.br
uma centena de palestras sobre certificação,
• Supervisão dos cursos acreditados em ISO 37001, governança, riscos e compliance
37301, DPO (LGPD), 27001, 27002, 27701, 31000
10
5
26/06/2023
PUBLICAÇÕES E ARTIGOS Jefferson Carvalho
A lista completa de artigos e publicações pode ser encontrada nas redes sociais
11
Parceiras e acreditação
A TRADIUS possui acreditação emitida pela PROCERT para realização de

treinamentos, sob número OTAP-005.
O presente curso possui acreditação.
A PROCERT é um organismo independente de avaliação da conformidade

operando conforme requisitos em critérios especificamente definidos pelo
acreditador extraídos das normas ISO 29993 e ISO 29994 e acreditou a
TRADIUS para treinamentos presenciais ou à distância.
Isto significa que a TRADIUS é periodicamente avaliada quanto aos

seus procedimentos, metodologia, material didático, qualidade e
competência de seus treinamentos.
Durante o treinamento, o acreditador pode eventualmente

testemunhar a realização do curso, para avaliar o atendimento às
regras e competência do instrutor, bem como, acessar os resultados
das provas e gravações.
12
6
26/06/2023
Objetivos do Treinamento
Formar profissionais como Implementador e Auditor Líder de Sistemas de Gestão

Antissuborno e Compliance:
• Interpretação e implementação da ISO 37001 – Antissuborno e ISO 37301 - Compliance;

Nota 1: abordagem primária ISO 37001 e aula com requisitos específicos da ISO 37301
Nota 2: os slides com o conteúdo normativo foram simplificados em relação ao texto da norma, mas trazem o
contexto na íntegra
• Abordagem o Compliance e Antissuborno sob a ótica de sistemas de gestão;

• Mecanismos de avaliação de riscos (base ISO 31000)
• Mecanismos para realização de auditorias (efetividade) conforme ISO 19011;
• Processo de certificação empresarial;
13
Regras do treinamento
Orientações principais do Manual do Aluno:
• As normas fornecidas possuem direitos autorias;

• Assiduidade mínima 75% (presença controlada pelo professor);
• Não permitido compartilhar qualquer link ou documentos com terceiros;
• Identificar-se no Zoom com Nome e Sobrenome;
• Microfones desligados. Vídeos devem permanecer ligados (Não deixe o professor só)
• Para interação, levantar a mão (função “raise hand” do ZOOM);
• Grupo de WhatsApp do curso formado para troca de informações e materiais;
• Ao final, um link para pesquisa de satisfação é enviado.
• Aula gravada por 30 dias (não abona faltas). Um link é enviado até a manhã seguinte;
14
7
26/06/2023
Regras do treinamento
Orientações principais da Especificação Técnica:
• AVALIAÇÃO FINAL (para certificação – conforme contratado):

• 100 pontos possíveis na prova final >= 70% (70 pontos mínimo)
• Prova (múltipla escolha) com consulta (executada durante a aula);
• Prazo estimado de correção 15 dias (prova corrigida enviada)

• Reprovados podem realizar prova substitutiva (conforme contratado);
• Assiduidade >= 75% para poder realizar a prova (do contrário reprovado, sem certificado)
• CERTIFICADO
- Aprovação (com acreditação)
- Participação (sem acreditação) para reprovados
15
Programa (agenda)
Datas e horários (website do curso):
- 11 módulos + prova
- Calendário: 26, 27, 28, 29 de junho, 03, 04, 05, 06, 10, 11 e 12 de julho 2023
- Horário das aulas: 18h30 as 22h00 (horário de Brasília) – 20 minutos intervalo
- Prova final para certificação acreditada (opcional): 17 de julho de 2023 as 18:30h
- Prova substitutiva (opcional): 31 de julho de 2023 às 18:30h
16
8
26/06/2023
Programa (agenda)
17
Programa (agenda)
18
9
26/06/2023
Introdução sobre
normatização e
integração com
compliance
19
O desenvolvimento passa por

diversas etapas com consulta
pública e envolvimento partes
interessadas (legitimidade):
Produção das normas técnicas (WD) Minuta de Trabalho

CD (Minuta de Comitê)
DIS (Draft Norma Internacional)
ISO (Norma Internacional)
A implementação O Comitê ISO A implementação

de uma norma levou quase 3 de uma norma
internacional ISO anos ISO (o Brasil é A palavra-chave é
representa um desenvolvendo as país membro) LEGITIMIDADE
interesse global normas e contou pressupõe
de padronizar com a acordos no
algum aspecto de participação de sentido de adotar Norma técnica é
relevância para delegações de a norma emitida inteligência embarcada
um determinado mais de 35 nos países no estado da arte
segmento ou países. membros
para a sociedade
com um todo.
o que não limita as empresas de
utilizar mecanismos
complementares, adaptados ao
seu ambiente técnico, regulatório
O Brasil participou
Porque padronizar o ativamente do processo:
e cutural
Compliance?
Delegação na ISO;
Não havia um •
• Comitê no Brasil
modelo consolidado • Participação da Sociedade
20
10
26/06/2023
O modelo de sistemas de Compliance e

Antissuborno baseia-se numa estrutura
Cadeia de requisitos internacional, do qual o Brasil é signatário, além
de útilizar outros modelos reconhecidos
Divisão Corrupção
https://www.unodc.org/lpo-
brazil/pt/corrupcao/index.html
Programa de
Lei No. 12.846 (2013) Anti-corrupção
Integridade
Decreto No. 11.129 (2022)
pressupõe um
SISTEMA DE
Organization for Economic Co-operation and
GESTÃO
Development (Exemplo de tratado assinado)
Capítulo V
https://www.oecd.org “Conjunto de mecanismos e procedimentos
(PROGRAMA DE
INTEGRIDADE) internos de integridade, auditoria e
incentivo à denúncia de irregularidades e na
aplicação efetiva de códigos de ética e de
conduta, políticas e diretrizes, com objetivo
FCPA - Foreign Corrupt Practices Act (1977) de:
https://www.justice.gov/criminal-fraud/foreign-corrupt-practices- I – prevenir, detectar e sanar desvios,
act fraudes, irregularidades e atos ilícitos
praticados contra a administração pública,
nacional ou estrangeira
Bribery Act (2010) II - fomentar e manter uma cultura de
http://www.legislation.gov.uk/ukpga/2010/23/contents
integridade no ambiente organizacional”
21
Cadeia de requisitos
Divisão Corrupção
https://www.unodc.org/lpo-
brazil/pt/corrupcao/index.html Lei No. 12846 (2013) Anti-corrupção
Decreto No. 11.129 (2022)
Organization for Economic Co-operation and As certificações ISO 37001 e

Capítulo V ISO 37301 podem auxiliar a
Development (Exemplo de tratado assinado) (PROGRAMA DE
https://www.oecd.org demonstrar a EFETIVIDADE do
INTEGRIDADE) Programa de Integridade
Há uma corrente de mercado debatendo Ver bibliografia na

sobre
FCPA a compulsoriedade
- Foreign / incentivo /
Corrupt Practices Act
Especificação Técnica do
reconhecimento das certificações ISO
(1977)
curso
37001 e ISO 37301.
https://www.justice.gov/criminal-
fraud/foreign-corrupt-practices-act
Bribery Act (2010)

http://www.legislation.gov.uk/ukpga/2010/23
/contents
22
11
26/06/2023
A base de TODOS é um
PROGRAMA DE
COMPLIANCE. O que se
Estrutura mecanismos altera é o escopo dos
riscos controlados
Programa de Compliance
Princípios e práticas gerais
Qualquer obrigação
ISO 37301:2021 – Sistema de Gestão de Compliance

(que substituiu a ISO 19600:2014)
ÉTICA
Prevenção aos riscos de não atendimento requisitos
Programa de Integridade
Fonte: CGU (www.cgu.gov.br)
Prevenção aos riscos de corrupção
ISO 37001:2016 – Sistema de Gestão Antissuborno
Prevenção aos riscos de suborno
23
As normas seguem a
estrutura HLS (High
Level Structure da
Escopo das normas ISO) – mesma
estrutura da ISO 9001
e ISO14001
ISO 37301
Sistema de Gestão de COMPLIANCE - Requisitos
ISO 37301 substitui a
Gestão e controle sobre RISCOS relativos à todas as ISO 19600 (cancelada)
OBRIGAÇÕES (compulsórias e voluntárias), em todas as
dimensões do COMPLIANCE: ISO 37001 e ISO 37301
Ambas normas
• Fiscal e Tributário ISO 37001 certificáveis (requisitos),
• Ambiental Sistema de Gestão ANTISSUBORNO -
Requisitos
passível inclusive de
• Contratual
• Saúde e Segurança acreditação
• Relações comerciais Gestão e controle sobre RISCOS relativos
• Trabalhista ao SUBORNO
• Controladoria
• ANTISSUBORNOApesar de abranger uma única dimensão
• Etc do compliance, TODOS os processos
devem ser mapeados
O escopo da certificação PODE
abranger outros aspectos de anti-
corrupção (lavagem de dinheiro,
Obviamente, um maior nível de
conflito de interesse, dumping,
compliance geral contribui para a eficácia
cartel)
do sistema de gestão Antissuborno
24
12
26/06/2023
Contextualização
sobre
certificações e
valor agregado
25
Contextualização
Quando o vento da
mudanças sopra,
enquanto uns constroem
abrigos, outros constroem
moinhos
Érico Veríssimo
26
13
26/06/2023
Contextualização
Confiança não é saber A falta de confiança

tudo sobre uma pessoa está afetando a
dinâmica dos
negócios
É não precisar saber

nada
Desconhecido
27
Um pouco de pragmatismo
Qualquer organização, pública ou

privada, tem essencialmente três
propósitos:
Cumprir
Gerar
Prevenir OBRIGAÇÕES
RESULTADOS
RISCOS
28
14
26/06/2023
Um pouco de pragmatismo
Um Código de Ética e uma COMUNICADO

cultura de compliance
NÃO PRATIQUE A
dificilmente mudarão a CORRUPÇÃO
índole do indivíduo disposto
a praticar a corrupção
É preciso se
proteger deles!
Neste sentido, a
EFETIVIDADE do
Programa de
Integridade é
fundamental
29
ISO 37001
Importância da EFETIVIDADE
Capacidade das políticas,

procedimentos e controles de
mitigar os riscos
3. EFICÁCIA
ATENÇÃO
• A EFICÁCIA (ou EFETIVIDADE)
é a capacidade que o controle
tem de mitigar o RISCO.
Treinamento do pessoal e
aplicação das políticas, 2. IMPLEMENTAÇÃO • Assim, Não é suficiente apenas
procedimentos e controles CUMPRIR o controle, mas sim,
saber se o controle FUNCIONA
Documentação das políticas,

procedimentos e controles 1. ESTRUTURAÇÃO
para a prevenção ao suborno
30
15
26/06/2023
ISO 37001
Importância da EFETIVIDADE
Houve redução
Capacidade das políticas, O controle foi efetivo (mitigação) na
procedimentos e controles de (eficaz)? possibilidade de
mitigar os riscos
3. EFICÁCIA superfaturamento?
O pessoal foi treinado

Treinamento do pessoal e Respectiva aplicação
sobre o controle (três
aplicação das políticas, 2. IMPLEMENTAÇÃO do controle
cotações)?
procedimentos e controles
Os controle
Gestão dos riscos
(Exemplo: três
Documentação das políticas, (Exemplo: risco de
cotações) foi
procedimentos e controles 1. ESTRUTURAÇÃO superfaturamento)
implementado?
31
Contextualização
Ainda não é possível

eliminar a corrupção.
Onde há:
- Dinheiro
- Poder
- Pessoas
O DESAFIO hoje é criar um
ambiente que iniba ao máximo a
Há corrupção corrupção, onde o potencial dano
não afete o desempenho da
organização
32
16
26/06/2023
Mas afinal, quem certificou?

Uma empresa não precisa certificar para estar conforme
Ela precisa estar conforme para certificar
A empresa que certifica não

é a mesma que praticou o
ilícito Um Programa de
Compliance e um
sistema de gestão
antissuborno deve
estar implantado e as
práticas que
permitiram o ato ilícito
devem ser corrigidas
33
Atores do processo Organizações

certificadas
(DEMONSTR
AR)
Sociedade,
Órgãos de
Controle, Mídia
Clientes (COLABORAR,
Forum
Internacional de
(UTILIZAR, MONITORAR)
Acreditadores
CONFIAR)
(IAF)
(TRANSNACIONA
LIDADE)
Organismo de
Avaliação da
Organismo Conformidade
(CERTIFICAR)
Acreditador
(CREDIBILI
DADE)
34
17
26/06/2023
Atores do processo Organizações

certificadas
(DEMONSTR
AR)
Quem pode certificar?

• Empresas privadas e organizações do poder público
• Qualquer natureza jurídica
• De qualquer porte
• Em qualquer país
35
Principais normas relacionadas a risco

Documento Escopo Certificável Acreditação
Norma Internacional
ISO 22301 Sistema de Gestão de Continuidade Sim Sim
de Negócios
ISO 26000 Responsabilidade Social Não Não
ISO 31000 Gestão de Riscos Não Não
ISO 37000 Governança nas Organizações Não Não
ISO 37001 Sistema de Gestão Antissuborno Sim Sim
ISO 37301 Sistema de Gestão de Compliance Sim A definir
Norma Brasileira
NBR 16001 Sistema de Gestão de Sim Sim
Responsabilidade Social
Especificação
Selo Pró-Ética Programa de Integridade Não Não
Selo Infra+ Integridade Programa de Integridade Não Não
36
18
26/06/2023
Credibilidade das
certificações:
Acreditação
37
Confiança na certificação (acreditação)
O que distingue uma empresa independente (exemplo: consultoria,

fiscalizadora) de um Organismo de Avaliação da Conformidade
(OAC)?
ACREDITAÇÃO
A acreditação é uma ferramenta estabelecida em escala

internacional para gerar confiança na atuação de
organizações que executam atividades de avaliação da
conformidade
https://www4.inmetro.gov.br/acreditacao/cgcre
38
19
26/06/2023
Acreditação
O Organismo de Acreditação avalia a Certificadora
(OAC):
O processo de acreditação ocorre em 3
níveis para confirmar a competência do
• Sistema de Gestão da OAC (norma ISO/IEC 17021):
Qualidade
1.Análise documental (procedimentos)
• Competência Técnica
2.Avaliação no Escritório do OAC
• Estrutura Operacional
3.Auditoria Testemunha (em campo)
• Mecanismos de
Independência, Anualmente são realizadas reavaliações
Imparcialidade, Objetividade e
Ausência de Conflito de
interesse das decisões
• Mecanismos de
confidencialidade
39
Acreditação Em função da gravidade de

denúncias ou de falhas em
seus sistema de gestão, um
Organismo de Certificação Definir:
pode ter sua autorização Acordo Multilateral
suspensa ou cancelada (MLA) do IAF para
Harmoniza: transnacionalidade das
- Tempo de auditoria certificações
- Competência auditores
(ISO/IEC TS 17021-13 (Set/21)
- Limites de escopos
- Critérios de auditoria
- Acreditação
Organismo de Acreditação
Certificação Certificação
Inspeção Calibração e Ensaio
de Sistemas Gestão de Produtos
(ISO 37001)
OAC Acreditado (Certificadora)

Podem ser utilizados
ACREDITADORES
PRIVADOS
Organização Fornecedora de Produtos e Serviços
independentes
Consumidores, Usuários, Governo
40
20
26/06/2023
Acreditação
(Símbolo de Acreditação da CGCRE do INMETRO). Fóruns onde a CGCRE é associada
41
ISO 37301
Confiança na certificação (acreditação)
Política pública / Reconhecimento /

A ACREDITAÇÃO assegura
Fomento à certificação
- Independência
- Imparcialidade
Programas de certificação acreditados - Objetividade
CADEIA DE CREDIBILIDADE - ausência de conflito de interesse
• Não significa “blindagem jurídica” Independente de quem contrate
(Inmetro ou acreditadores internacionais)
• Prerrogativas do Poder Público (Organismos acreditados – lista pública)
mantidas
• Apoio à confiança e tomada de
decisão do agente público Poder Público Mercado
(Contratantes, Reguladores, (Concessionárias, Projetistas,
• Maior distância entre público e Construtoras, Fabricantes, Sistemistas,
Agências etc)
privado Seguradoras, Bancos etc)
• Mais segurança jurídica
• Foco do Poder Público no PAR
Organismos de Avaliação
da Conformidade
(certificadora)
42
21
26/06/2023
Acreditação
A palavra é RACIONALIZAÇÃO na Percepção da Mitigação do RISCO:
PARTE
INTERESSADA
Estruturação?
Implementação?
Efetividade?
Redução do custo
transacional de
controle
ORGANIZAÇÃO
43
Acreditação
A palavra é RACIONALIZAÇÃO da Gestão dos Riscos:
A certificação permite
uma linguagem única a
todas partes, traduzida
em
CONFIANÇA e
VELOCIDADE NAS
DECISÕES
44
22
26/06/2023
Atividade em Grupo
Grupos de trabalho
3 Grupos aleatórios criados
automaticamente no Zoom
- Duração média dos debates 20-40 minutos
- Duração média revisão em aula 20 minutos
45
Atividade em Grupo
Orientações:
Cada grupo faz sua apresentação:
- Compartilhar material via WhatsApp do curso
- Utilizar formulário fornecido
- Máximo 5 minutos para cada grupo (atenção);
- Um representante deve ser selecionado a cada

workshop (não podendo repetir para dar
oportunidade a todos os alunos)
46
23
26/06/2023
Regulação
Anticorrupção
Lei 12.846/13
Decreto 11.129/22
NOTA: o propósito não é um curso sobre a
regulação anticorrupção, mas sim,
demonstrar sua compatibilidade com os
princípios contidos nas normas ISO 37001 e
ISO 37301, utilizando a referência da Lei
aplicável ao setor privado (mas com mesmo
paralelo para o setor público
47
Regulação Anticorrupção
EFEITOS DA CORRUPÇÃO: a Corrupção aumenta a desigualdade social, emperra o
desenvolvimento econômico, abala o princípio da concorrência justa, incentiva a má
governança e provoca a corrosão moral da sociedade.
EQUAÇÃO DA CORRUPÇÃO: Segundo o economista Robert Klitgard a Corrupção estaria

representada pela seguinte equação:
CORRUPÇÃO = M + D – A
ONDE, M= grau de monopólio; D= poder discricionário e A= mecanismos de controle.
Outra forma de Representação da Corrupção por Equação:
CORRUPÇÃO= BENEFÍCIOS – CUSTO DE AÇÃO

(quanto maior o custo de ação para infringir normas, burlar procedimentos internos de
gestão, subornar pessoas, maior é o efeito sobre os benefícios e assim menor a
Corrupção.
48
24
26/06/2023
• Relevância do Estabelecimento Legal da Responsabilidade Objetiva no Âmbito

da Gestão: a instituição da Responsabilidade Objetiva atende a uma necessidade de
responsabilização sobre todo o processo de produção.
• A responsabilidade sobre a cadeia produtiva é cada mais necessária porque se não tiver
condições de fazer essa gestão prevenindo e mitigando riscos, avaliando as
situações críticas, a empresa pode ser responsabilizada, seja via, Ministério Público
ou órgãos de controles externos e até mesmo internos no âmbito da Adm, Pública,
conforme prevê o art. 2º, do Decreto 11.129/22.
49
ISO 37301
Relação com o Programa de Integridade
ATOS ILÍCITOS. Art. 5o da Lei 12.846/2013
I - prometer, oferecer ou dar, direta ou indiretamente,

d)fraudar licitação pública ou contrato dela
decorrente;
vantagem indevida a agente público, ou a
terceira pessoa a ele relacionada; e)criar, de modo fraudulento ou irregular,
II - comprovadamente, financiar, custear, patrocinar ou de pessoa jurídica para participar de licitação pública
qualquer modo subvencionar a prática dos atos ou celebrar contrato administrativo;
ilícitos previstos nesta Lei; f)obter vantagem ou benefício indevido, de

III - comprovadamente, utilizar-se de interposta pessoa modo fraudulento, de modificações ou prorrogações
de contratos celebrados com a administração pública,
física ou jurídica para ocultar ou dissimular seus
sem autorização em lei, no ato convocatório da
reais interesses ou a identidade dos beneficiários dos atos
licitação pública ou nos respectivos instrumentos
praticados;
contratuais;
IV - no tocante a licitações e contratos:
g)manipular ou fraudar o equilíbrio econômico-
a)frustrar ou fraudar, mediante ajuste, combinação
financeiro dos contratos celebrados com a
ou qualquer outro expediente, o caráter competitivo de
administração pública;
procedimento licitatório público;
b) impedir, perturbar ou fraudar a realização de qualquer V - dificultar atividade de investigação ou
ato de procedimento licitatório público; fiscalização de órgãos, entidades ou agentes

públicos, ou intervir em sua atuação, inclusive no
c)afastar ou procurar afastar licitante, por meio âmbito das agências reguladoras e dos órgãos de
de fraude ou oferecimento de vantagem de qualquer fiscalização do sistema financeiro nacional. ///
tipo;
50
25
26/06/2023
DAS SANÇÕES ADMINISTRATIVAS E ENCAMINHAMENTOS JUDICIAIS:
❖ PROGRAMA DE INTEGRIDADE, Art. 41. Para fins do disposto neste Decreto,

programa de integridade consiste, no âmbito de uma pessoa jurídica, no conjunto de
mecanismos e procedimentos internos de integridade, auditoria e incentivo à
denúncia de irregularidades e na aplicação efetiva de códigos de ética e de conduta,
políticas e diretrizes com objetivo de detectar e sanar desvios, fraudes,
irregularidades e atos ilícitos praticados contra a administração pública, nacional
ou estrangeira.
Em outras
❖ Parágrafo Único. O programa de integridade deve ser estruturado, aplicado e palavras:
atualizado de acordo com as características e riscos atuais das atividades de cada SISTEMA
DE GESTÃO
pessoa jurídica, a qual por sua vez deve garantir o constante aprimoramento e
adaptação do referido programa, visando garantir sua efetividade.
51
Pilares Programa de Integridade X ISO 37001
Fonte: E-book “Programas de Integridade em Compras Públicas – Certificações ISO 37001 e Contribuição à Efetividade – J. CARVALHO, C.
CARNEIRO, 2020. NOTA: o e-book foi emitido quando o decreto 8.420/15 estava em vigor e será atualizado quanto ao novo Decreto 11.129/22
52
26
26/06/2023
53
54
27
26/06/2023
55
56
28
26/06/2023
ISO 37001 (idem ISO

37301) abrange todos
os pilares do Programa
de Integridade (Decreto
11.129/22) e possui
pilares adicionais
57
Legislações estaduais que requerem programa de Integridade
CARNEIRO, 2020.
58
29
26/06/2023
CGU
Efetivo X Redução Multa
em PAR
(Valor da boa gestão em GRC)
59
Processo Administrativo de Responsabilização – PAR:
Art. 4º do Dec. 11.129/22.
• Competência: autoridade máxima da entidade em face

da qual se praticou o ato lesivo, ou em caso da órgão da
Administração Direta, do seu ministro de Estado.
60
30
26/06/2023
Valor do Programa de Integridade efetivo
O Manual Prático de Avaliação de Programa de Integridade em PAR (Processo

Administrativo de Responsabilização) traz a seguinte regras para o caso de
aplicação de multas em ilícitos envolvendo corrupção
Fonte: https://repositorio.cgu.gov.br/bitstream/1/46645/1/Manual_pratico_integridade_PAR.pdf
61
Valor do Programa de Integridade efetivo
A metodologia de cálculo considera:
- Decreto n. 11.129/2022 (Regulameta lei 12.846/2013) - Anticorrupção;

- Portaria CGU n. 909/2015
- guia “Programa de Integridade – Diretrizes para Empresas Privadas” 2015
Blocos de Avaliação
COI – Cultura MPI – Mecanismos, APJ – Atuação da
organizacional de Políticas e procedimentos Pessoa Jurídica em
Integridade de Integridade Relação ao Ato Leviso
Pontuação máxima Pontuação máxima 1,5% Pontuação máxima
1,8% 1,3%
Percentual de redução = [ (COI x MPI) + APJ ]
62
31
26/06/2023
Programa de
Integridade
Regulação Anticorrupção EFETIVO é uma
Valor do Programa de Integridade efetivo APÓLICE DE
SEGURO
Num exemplo de uma empresa com faturamento no ano anterior

de R$ 100 milhões, o valor potencial de redução da multa em caso
de ilícito pode ser de -1% até -4%, ou seja, de R$ 1milhão até 4
milhões, dependendo do grau de efetividade
63
Introdução à
Governança
Corporativa e
Controles Internos
NOTA: o propósito não é um curso sobre
governança, mas sim, demonstrar que está
interrelacionadas com os princípios das
normas ISO 37001 e ISSO 37301, as quais
cobrem aspectos essenciais de governança
para os Sistemas de Gestão
64
32
26/06/2023
Governança
Contexto preliminar
Válido também para governança pública
PARTES
INTERESSA
DAS
TRANSPARÊNCIA
ACCOUNTABILITY
RISCO Seus interesses

precisam ser
considerados e
equilibrados para
assegurar
SUSTENTABILIDADE
65
Índice de Percepção da Corrupção
O Brasil tem um
desempenho ruim na
PERCEPÇÃO de
combate à corrupção
Ranking 94 de 180
Isto afeta
investimentos
Fonte: Relatório do índice de Percepção da Corrupção (IPC) – Transparency International – 2023 (dados 2022) (LINK)
66
33
26/06/2023
Indicadores de corrupção
CCC - Índice de Capacidade de Combate à Corrupção
Fonte: Control Risk: The Capacity to Combat Corruption (CCC) Index Report 2022- LINK
67
Indicadores de corrupção
CCC - Índice de Capacidade de Combate à Corrupção
Assim como um grande

problema não tem uma única
causa, não é possível uma
única grande solução.
Só um conjunto de
controles precisos
espalhados ao
longo dos processos
pode diluir a
energia do risco
Fonte: Control Risk: The Capacity to Combat Corruption (CCC) Index Report 2021 - LINK
68
34
26/06/2023
IGC – Índice de Governança Corporativa - NM

Valor do Compliance
O IGC – Índice de Governança Corporativa foi estabelecido como critério

para entrar no NOVO MERCADO B3 (Brasil, Bolsa, Balcão), que seleciona
e reúne as ações de companhias que adotam as melhores práticas
de governança corporativa existentes no mercado.
Requisitos:
• Adoção de prática Tag Along

• Manutenção de 25% das ações em circulação (free float)
• Conselho de Administração com 20% de membros independentes
• Transparência da administração aos acionistas
• Implementação de Comitê de Auditoria e Compliance
• Oferta Pública de Aquisição de Ações (OPA)
Fonte: SUNO – Conheça o nível mais alto de governança B3 (2021) - LINK
69
IGC – Índice de Governança Corporativa - NM

Valor do Compliance
Jun/2001 a Out/2022
Fonte: O Acionista (2021) - LINK
70
35
26/06/2023
“É o sistema pelo qual as organizações são

dirigidas, monitoradas e incentivadas,
envolvendo as práticas e os relacionamentos entre
proprietários, conselho de administração, diretoria e
órgãos de controle.
As boas práticas de Governança Corporativa (GC)

convertem princípios em recomendações objetivas,
alinhando interesses com a finalidade de
preservar e otimizar o valor da organização,
facilitando seu acesso ao capital e contribuindo
para a sua longevidade”.
Fonte: IBGC – Instituto Brasileiro de Governança Corporativa
71
Equidade: Caracteriza-se pelo tratamento justo de todos os sócios

(minoritários e majoritários) e demais partes interessadas
(stakeholders). Atitudes ou políticas discriminatórias, sob qualquer
pretexto, são totalmente inaceitáveis.
Investido Funcionár Comunid Forneced

Governo Clientes
res ios ade ores
Prestação de Contas (accountability): Os agentes de Governança

devem prestar contas de sua atuação, assumindo integralmente as
conseqüências de seus atos e omissões.
72
36
26/06/2023
Relação com Gestão
73
Interesses da própria
Interesses dos sócios Interesses dos gestores empresa
Evitar o
CONFLITO DE
INTERESSE
74
37
26/06/2023
A 2ª linha de defesa
Modelo refere-se ao
Três linhas de defesa para gestão de riscos
monitoramento pelos
gestores (cumprimento
das regras e controles)
Todo controle deve
ser aplicado na 1ª
linha de defesa (na
atividade)
Todas as ações
são definidas
para GERIR OS
RISCOS
Fonte: Instituto de Auditores Internos - 2020 (LINK)
75
COSO
76
38
26/06/2023
Framework COSO I ou COSO IC

Breve histórico
“Em 1992, COSO publicou o guia Internal Control -

integrated framework (COSO-IC ou COSO I)
Nesse modelo, controle interno é definido como

um “processo projetado e implementado pelos
gestores para mitigar riscos e alcançar
objetivos”
Por sua vez, risco é definido como “a

possibilidade de ocorrência de um evento que
possa afetar o alcance dos objetivos”
Fonte: Tribunal de Contas da União TCU (LINK)
77
Framework COSO II ou COSO-ERM

Breve histórico
COSO-ERM ou COSO II (2004) inclui um novo

tipo de objetivo a ser assegurado: objetivos
estratégicos.
A atividade “análise de riscos” foi substituída

pelas seguintes atividades:
- identificação de eventos;
- avaliação de riscos
- resposta a riscos
que devem considerar o apetite de risco

definido pela organização
Fonte: Tribunal de Contas da União TCU (LINK)
78
39
26/06/2023
COSO ERM
Integrated Framework
Breve histórico
A versão mais atual de 2017 COSO ERM 2017 versão do COSO ERM (Enterprise Risk management -
Integrated Framework) integra a gestão de riscos com a estratégia, permeando a organização em 5
componentes e 20 objetivos
Fonte: COSO - Comitê de Organizações Patrocinadoras da Comissão Treadway (2023)– (LINK)
79
Aspectos relevantes
interpretação e
implantação
ISO 37001
Sistema de Gestão Antissuborno
80
40
26/06/2023
IMPORTANTE: A Organização deve

ISO 37001 integrar seu Programa de
Compliance com a Estrutura de
Estrutura HLS ISO Sistema de Gestão e Requisitos
definidos pela Norma
(Cláusulas 1 a 3 não são requisitos)
A norma traz requisitos dos Cláusulas 4 a 10, conforme abaixo.
4 – Contexto da Organização
5 - Liderança
6 - Planejamento
7 – Apoio
8 – Operação
9 – Avaliação do desempenho
10 - Melhoria
81
ISO 37001 Levantamento

1
Estabelecer
Contexto 4 3
Estrutura Requisitos organizacional Escopo do Práticas de
PROGRAMA governança
Requisitos das 2
partes
interessadas Modelo do
5
Sistema de
Gestão
Política do 6
PROGRAMA e
objetivos
7
Identificação
de obrigações
Manter Compromisso da Desenvolver

Liderança, Independência
12 do Compliance, 8
Responsabilidades e Avaliação dos
Ação corretiva e autoridades claras, riscos e due
melhoria contínua Recursos, Competências e diligence
treinamento, Transparência
Melhorar
Avaliar Implementar
11 10 9
Avaliação Controles
Canal de
desempenho internos e
Denúncia e
e Auditoria procedimento
Investigação
Interna s
82
41
26/06/2023
ISO 37001
Cláusula 1 – Escopo
O SGAS (Sistema de Gestão Antissuborno) pode ser independente ou

pode ser integrado em um sistema de gestão global. Escopos:
• suborno nos setores público, privado e sem fins lucrativos;

INTERNO
• suborno pela organização; PRIVADO
• suborno pelo pessoal da organização; ATIVO
• suborno pelo parceiro de negócio;
• suborno da organização;
• suborno do pessoal da organização; PÚBLICO REATIVO
• suborno do parceiro de negócio; EXTERNO
• suborno direto ou indireto (por exemplo, um suborno oferecido ou aceito
através ou por uma terceira parte).
83
ISO 37001
Cláusula 1 – Escopo
• Esta norma é aplicável apenas a suborno.
• Esta norma não aborda fraude, carteis e outros delitos

antitruste/anticompetitivos, lavagem de dinheiro ou outras
atividades relacionadas a práticas corruptas (embora uma
organização possa escolher ampliar o escopo do sistema de
gestão para incluir tais atividades).
• Os requisitos definidos nesta norma são genéricos e se

destinam a serem aplicáveis a todas as organizações
independentemente do tipo, tamanho e natureza da
atividade, e se a organização é do setor público, privado ou
sem fins lucrativos.
84
42
26/06/2023
ISO 37001
Cláusula 3 – Termos e definições
Suborno
Oferta, promessa, doação, aceitação ou solicitação de uma vantagem
indevida de qualquer valor (que pode ser financeiro ou não financeiro),
direta ou indiretamente, e independente de localização(ões), em violação às
leis aplicáveis, como um incentivo ou recompensa para uma pessoa que
está agindo ou deixando de agir em relação ao desempenho das suas
obrigações.
Orgão diretivo
Grupo ou orgão que tem a responsabilidade e autoridade finais pelas
atividades, governança e políticas de uma organização e ao qual a alta direção
se reporta e perante o qual a alta direção é considerada responsável.
Nota: Nem todas as organizações, particularmente organizações pequenas,

têm um orgão diretivo separado da alta direção. Um órgão diretivo pode
incluir porém não está limitado ao conselho de administração, comitês do
conselho, conselho de supervisão, curadores ou supervisores
85
Governança X Compliance
86
43
26/06/2023
ISO 37001
É fundamental conhecer a
CAUSA (incerteza), ou seja,
Função de compliance antissuborno
o mecanismo pelo qual um
Pessoa (s) com responsabilidade e autoridade para a operação
ilícito ocorre, do contrário, o
do sistema de gestão antissuborno.
controle é empírico, e não
metodológico
Risco
Efeito da incerteza sobre os objetivos. Incerteza é o estado,
ainda que parcial, de deficiência de informação relacionada a
um evento, sua consequência ou probabilidade ou deficiência Exemplos
de compreensão ou conhecimento de um evento, sua • Contabilidade
consequência ou probabilidade. • Jurídico
• Tecnologia da Informação
Terceirizar (verbo) • Representantes
Fazer um arranjo onde uma organização externa
desempenha parte de uma função ou processo de uma Não precisam certificar, mas:
organização. Nota : Uma organização externa está fora do
- Riscos devem ser identificados
escopo do sistema de gestão, apesar de a função ou processo
- Controles devem ser definidos
terceirizado estar dentro do escopo.
(exemplo: em ata ou contrato)
- Eficácia avaliada
87
ISO 37001
Parceiro de negócio
Parte externa com a qual a organização têm, ou planeja estabelecer, alguma
forma de relacionamento de negócio. NOTA: Parceiro de negócio inclui mas
não está limitado a:
Clientes;
joint ventures;
parceiros de joint ventures;
parceiros de consórcio;
provedores de terceirização;
Contratantes;
Consultores;
Subcontratados;
Fornecedores;
Conselheiros;
Agentes;
Distribuidores;
Representantes;
Intermediários;
investidores.
88
44
26/06/2023
ISO 37001
Due diligence
Processo para aprofundar a avaliação da natureza e extensão dos riscos
de suborno e ajudar as organizações a tomar decisões em relação a
transações, projetos, atividades, parceiros de negócio e pessoal específicos.
Due diligence não éem

tese, um controle
operacional.
É apenas um processo para

conhecer e avaliar os riscos com o
parceiro de negócio ou pessoa
89
Parceiro de negócio
Joint Ventures e Consultor

Fornecedores Distribuidor Representantes
Consórcios
Subcontratado Vendedor terceiro Agentes
DUE DILIGENCE
(CONHECER OS RISCOS)
Clientes Contratante Conselheiro
Parceiros de Joint Investidor

Ventures
90
45
26/06/2023
ISO 37001
Cláusula 4 – Contexto da Organização
4.1 Entendendo a Organização e Seu

Contexto
4.2 Entendendo a Necessidade e

Expectativas das Partes Interessadas
4.3 Determinando o escopo do SGAS
4.4 Sistema de Gestão Antissuborno
4.5 Avaliação de riscos de suborno
91
ISO 37001
Exemplos
• Número de funcionários
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Número de clientes
• Organograma
• Mapear questões internas e externas críticas que afetem o
SGAS; • Mapeamento dos processos
• Tamanho, estrutura, autoridades; • Alçadas
• Autorizações
• Localizações e setores onde opera;
• Autoridades em procedimentos
• Natureza, escala e complexidades;
• Mapa societário (controlados e
• modelo de negócio controladores até o final da cadeia,
• controladas e controladoras; CNPF, CPF, quotas etc)
• parceiros de negócio
• natureza e extensão das Interações com agentes públicos
• Obrigações e deveres;
Importante emitir uma lista
ou matriz referencial, e não
um texto descritivo
92
46
26/06/2023
ISO 37001
Exemplo de Organograma Societário
Para o Compliance, é importante que se

obtenha a informação até o CNPJ e CPF
abrangido até o final da cadeia de
controladores e controlados (follow de Money)
Fonte: Inepar – Estrutura Acionária – 2021 - LINK
93
ISO 37001
Exemplo de Matriz de contexto organizacional
Aspecto ISO Descrição da Local de Responsável Procedimento Notas

37001 – informação armazenament pela interno adicionais
cláusula 4.1 o informação
e) entidades sobre Mapa Intranet / Jurídico Gerente Jurídico IT-JUR-0001 NA
as quais a (organograma) / Mapa Societário
organização tenha societário
controle e
entidades que
exerçam controle
sobre a
organização
94
47
26/06/2023
ISO 37001
Exemplos
• Sede
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Filiais (mesmo vazias)
• Escritórios
SGAS; • Fábricas
• Contratos
• Tamanho, estrutura, autoridades;
• Tipos de clientes
• Setores da economia
• modelo de negócio
• controladas e controladoras;
95
ISO 37001
Exemplos
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Modus operandi
• Volumes de faturamento
• Número de clientes
SGAS;
• Nível de regulação
• Desempenho econômico
• Aspectos críticos operacionais
96
48
26/06/2023
ISO 37001
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO Exemplos

• Metodologia de venda e
relacionamento com o cliente:
SGAS;
- B2B, B2C
- Representação
- Venda direta
• Natureza, escala e complexidades; - Venda pela web
97
ISO 37001

• Parte do mapa societário,
• Mapear questões internas e externas críticas que afetem o incluindo:
SGAS;
- empresas societárias
• Tamanho, estrutura, autoridades; - joint ventures
• Localizações e setores onde opera; - consórcios
• Natureza, escala e complexidades; - startups
• modelo de negócio - fundações
98
49
26/06/2023
ISO 37001

• Lista de clientes
SGAS; • Lista de fornecedores
• Tamanho, estrutura, autoridades; • Lista de acionistas e suas cotas
• Lista de conselheiros
• Etc (ver definição de parceiro de
• Natureza, escala e complexidades; negócio)
99
ISO 37001
Exemplos
• Mapeamento de todos os
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO
relacionamentos com agentes
públicos :
SGAS; - órgão
• Tamanho, estrutura, autoridades; - objeto do relacionamento;
- metodologia de comunicação
- interlocutor do agente e nível
- interlocutor interno
100
50
26/06/2023
ISO 37001
Exemplos
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Listagem de obrigações de
compliance e antissuborno em:
- legislações
SGAS;
- contratos
- acordos
- decisões judiciais
• Natureza, escala e complexidades; - condicionantes
• modelo de negócio - etc
• parceiros de negócio IMPORTANTE: obrigação é somente
• natureza e extensão das Interações com agentes públicos a demanda objetiva (uma obrigação
pode ser um único artigo dentro de
• Obrigações e deveres; toda uma lei)
101
ISO 37001
4.2 ENTENDENDO AS NECESSIDADES E EXPECTATIVAS DAS Uma pesquisa de clima

PARTES INTERESSADAS sobre a percepção do
Compliance poderia também
• A organização deve determinar: ser aplicada junto aos
stakeholders
• as partes interessadas pertinentes para SGAS;
• os requisitos pertinentes dessas partes interessadas.
Exemplos
• Clientes (cláusulas contratuais)
• Órgãos reguladores (condicionantes)
• Associações (códigos de ética setoriais)
NOTA: atenção para identificar apenas

requisitos que impactam o sistema de gestão
antissuborno
102
51
26/06/2023
ISO 37001
4.3 DETERMINANDO O ESCOPO DO SGAS
• Determinar os limites e a aplicabilidade do SGAS, considerando:

• Questões internas e externas;
• Requisitos das partes interessadas;
• Resultados da avaliação de riscos de suborno.
• O escopo deve estar disponível como informação documentada;
103
ISO 37001
4.3 DETERMINANDO O ESCOPO DO SGAS

Para uma certificação ISO 37001, o
NÃO ABRANGIDO PELA contexto é que não pode haver, em
ESCOPO DO SGAS
uma mesma organização, PARTE
mas processos de
interface podem e a COBERTA e PARTE NÃO COBERTA
gestão dos riscos ser Holding por um SGAS;
auditados
Sócio PJ - Certificar toda sua estrutura
(filiais, escritórios, obras etc)
Subcontratado
- Pode excluir outras organizações
Outras empresas ABRANGIDO PELA (exemplo: Holding, Sócios PJ e
do Grupo ESCOPO DO SGAS subcontratados
CNPJ Matriz - Não pode excluir processos

externos Exemplo: RH
Corporativo na Holding; TI por
um subcontratado
Filial Escritório Sites Obras e

operacionais contratos
104
52
26/06/2023
ISO 37001
4.4 SISTEMA DE GESTÃO ANTISSUBORNO
• Estabelecer, documentar, implementar e

manter um SGAS;
• O SGAS deve avaliar o risco, prevenir, detectar e

responder ao suborno
NOTA: Não é possível eliminar completamente o risco de

suborno, e nenhum SGAS será capaz de prevenir e
detectar todo suborno.
105
ISO 37001
4.5 AVALIAÇÃO DE RISCO DE SUBORNO
• 4.5.1: Avaliar regularmente os riscos;

• Riscos que podem ser antecipados;
• Analisar, avaliar e priorizar os riscos; Um módulo dedicado
• Avaliar a eficácia dos controles para mitigar os riscos; a gestão de riscos
com base na ISO
• 4.5.2: Estabelecer critérios para avaliar seu nível de risco, e levar 31000 faz para da
agenda do
em conta os objetivos e as políticas da organização;
treinamento
• 4.5.3: A avaliação de riscos deve ser realizada periodicamente:
• Em uma base regular e com frequencia definida
• No momento de mudança significativa;
• 4.5.4: Manter informação documentada;
106
53
26/06/2023
ISO 37001
Cláusula 5 – Liderança
5.1 Liderança e Comprometimento

- órgão diretivo
- alta direção
5.2 Política antissuborno
5.3 Papeis, responsabilidades e

autoridades
- função de compliance antissuborno
- delegações de autoridades
107
ISO 37001
5.1 LIDERANÇA E COMPROMETIMENTO
• 5.1.1: ÓRGÃO DIRETIVO
• Aprovar a política antissuborno;

• Assegurar alinhamento estratégia x política;
• Análise periódica desempenho SGAS e monitorar alta direção;
• Requerendo alocação dos recursos para o SGAS;
• Razoável supervisão sobre a implantação e eficácia do SGAS
• Estas atividades devem ser realizadas pela alta direção se a

organização não tem um órgão diretivo.
108
54
26/06/2023
Governança X Compliance
109
Órgão diretivo
GOVERNANÇA (ÓRGÃO DIRETIVO)
Conselho de Administração Comitês do Conselho
Assembleia de Acionistas Holding
Diretoria Colegiada Presidência
Diretores
GESTÃO (ALTA DIREÇÃO)
110
55
26/06/2023
ISO 37001
• 5.1.2: ALTA DIREÇÃO: Atenção para a

Demonstrar liderança e comprometimento: manutenção de
evidências que
• Assegurar implementação e eficácia SGAS; abordagem riscos;
demonstrem o
• Integração SGAS com processos; atendimento a estes
• Disponibilidade recursos; requisitos
• Comunicação interna e externa da política e importância SGAS;
• SGAS concebido para alcançar os objetivos;
• Apoiando o pessoal para a eficácia do SGAS;
• Promover cultura antissuborno;
• Melhoria contínua;
• Encorajar denúncias;
• Assegurar ausência de retaliação;
• Reportar para o órgão diretivo a intervalos planejados, sobre o
conteúdo e operação do SGAS e alegações de subornos;
111
ISO 37001
5.2 POLÍTICA ANTISSUBORNO
• Compromisso formal com o Sistema de Gestão;
• Encoraje o levantamento de preocupações, sem medo de

represália;
• Explique a autoridade e independência da Função de

Compliance Antissuborno;
• Explique consequências do não cumprimento da política;
• Deve ser comunicada aos parceiros de negócio;
• Disponível às partes interessadas (Documento público)
112
56
26/06/2023
ISO 37001
5.3 PAPEIS, RESPONSABILIDADES E AUTORIDADES

ORGANIZACIONAIS
5.3.1: Papéis e responsabilidade
• Autoridades e responsabilidades a papéis pertinentes

atribuídas e comunicadas em todos os níveis;
• Gestores de todos os níveis responsáveis por requerer que os

requisitos do SGAS sejam cumpridos.
Clareza de que a 2ª linha de defesa

deve ser aplicada pelos gestores
(não apenas pelo Compliance)
113
ISO 37001
5.3.2 Função De Compliance Antissuborno: Atenção para não

delegar a pessoa não
Autoridade e responsabilidade para:
competente e sem
posição
• Supervisionar e concepção da implantação do SGAS;
• Prover orientação e diretrizes para o pessoal; A ISO 37001 permite que
• Provido de recursos e atribuída a pessoas com competência, recursos externos desempenhem
posição, autoridade e independência; este papel (mediante contrato)
• Acesso direto ao Órgão Diretivo e à Alta Direção para
relatar o desempenho do SGAS;
Onde há hierarquia há
dificuldade de exercer a
independência
necessária
114
57
26/06/2023
ISO 37001
Exemplos:
5.3.3 Tomada de decisão delegada: • Alçadas de aprovação;
• Procurações;
• Estabelecer e manter um processo de tomada de
decisão ou um conjunto de controles que requeira • Parametrização de usuários;
que o processo de decisão e o nível de autoridade • Delegações financeiras em
do(s) tomador(es) da decisão sejam apropriados e procedimentos
livres de conflitos de interesse reais ou potenciais. • Delegações operacionais em
procedimentos
• Analisar periodicamente tais processos
EVITAR EXCESSO NÃO

Deve haver: JUSTIFICADO DE
• Controle AUTORIDADE
• Governança
• Rastreabilidade da autoridade
• Rastreabilidade das decisões
115
Atividade em Grupo
Pesquisa + Entrega (em sala)

• Analisar uma Política Antissuborno (item 5.2 da ISO 37001)
- Pesquisar política antissuborno de organizações;
- Avaliar nível de adequação à ISO 37001, pontos positivos e negativos em relação à políticas pesquisada;.
• Documento com:
- política antissuborno pesquisada,
- comentários sobre política pesquisadas
Orientações
• Formulário
• Elaborar em 20 minutos
• Enviar via WhatsApp do Grupo
• Duração 5 minutos
• Todos no Grupo devem falar
116
58
26/06/2023
ISO 37001
Cláusula 6 – Planejamento
6.1 Ações para abordar riscos e

oportunidades
6.2 Objetivos de antissuborno e

planejamento para alcança-los
117
ISO 37001
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES
• Assegurar que o SGAS pode alcançar os objetivos e prevenir os

efeitos;
• Prevenir ou reduzir efeitos indesejados pertinentes;
• Integrar as ações com os processos;
• Monitorar a eficácia das ações;
118
59
26/06/2023
ISO 37001
Capacidade das políticas,

procedimentos e controles de
3. EFICÁCIA
mitigar os riscos ATENÇÃO
• A EFICÁCIA (ou EFETIVIDADE)
é a capacidade que o controle
tem de mitigar o RISCO.
Treinamento do pessoal e
aplicação das políticas, 2. IMPLEMENTAÇÃO • Assim, NUNCA é suficiente
procedimentos e controles apenas cumprir o controle,
mas sim, saber se o controle
FUNCIONA
Documentação das políticas,

procedimentos e controles 1. ESTRUTURAÇÃO
119
ISO 37001
6.2 OBJETIVOS DE ANTISSUBORNO E PLANEJAMENTO PARA

ALCANÇA-LOS
• Estabelecer objetivos e metas nos níveis e funções

pertinentes:
• consistentes com a política antissuborno;
• mensuráveis (se praticável);
• levar em conta contexto, escopo, partes interessadas
e riscos de suborno;
• alcançáveis;
• monitorados;
• comunicados;
• atualizados como apropriado.
• Estabelecer planos de ação para alcançar as metas;

• Imposição de sanções;
120
60
26/06/2023
ISO 37001
Cuidados no estabelecimento de Indicadores
• Devem trazer uma visão da segurança que o SGAS traz para

os Stakeholders, em especial, Alta direção e acionistas;
• Evitar indicadores de pura implementação (mera obrigação).

Exemplo:
- percentual de pessoas treinadas;
- percentual de controles implementados;
- percentual do risk assessment;
• Evitar indicadores que inibam o uso do SGAS:

- número de denúncias;
- número de não-conformidades
121
ISO 37001
Exemplos de Objetivos e metas (KPI)
• Operações suspeitas (red flag e yellow flag)

• Eficácia dos treinamentos
• Notificações recebida
• Sanções recebidas e valor total
• Resultados de auditorias internas
• Resultados de auditorias independentes
• Pesquisa de clima interno (compliance)
• Pesquisa de clima externo (compliance)
• Velocidade investigação denúncias;
122
61
26/06/2023
ISO 37001
6.2 OBJETIVOS DE ANTISSUBORNO E PLANEJAMENTO PARA ALCANÇA-LOS
Objetivo
Assegurar confiança no uso do Canal de Denúncia
Indicador Meta Fórmula Periodicidade Responsável
Pesquisa (item 80% nota 4 ou 5 No.
respostas 4 ou 5 Anual Comunicação
“Confiança Canal (de 1 a 5) --------------- Interna
Denúncia”) No. total de
respostas
123
ISO 37001 IMPOSSÍVEL melhorar

Cláusula 6 – Planejamento resultados
empiricamente. DEVE
HAVER UM PLANO
6.2 OBJETIVOS DE ANTISSUBORNO E PLANEJAMENTO PARA ALCANÇA-LOS
PLANO DE AÇÃO – OBJETIVO E META
TARGET: Passar de 60% de Confiança no Canal de Denúncia para 80%
Como medir as
O que fazer Recursos Quem Quando
ações
Campanha de Comunicação
R$ 10k (empresa Número de acessos
vídeos da Alta Interna e 3 meses
de ´comunicação) aos vídeos
Direção Compliance
124
62
26/06/2023
ISO 37001
Cláusula 7 – Apoio
7.1 Recursos
7.2 Competências
- Generalidades
- Processo de contratação
7.3 Conscientização e treinamento
7.4 Comunicação
7.5 Informação documentada
125
ISO 37001
7.1 RECURSOS
• Determinar e prover recursos para

implementação, manutenção, melhoria do
Exemplo:
• Budget (orçamento anual) indicando os custos
para manutenção do SGAS (salários, viagens,
fornecedores, canal de denúncia, consultores,
auditorias etc).
126
63
26/06/2023
ISO 37001
7.2 COMPETÊNCIA
• 7.2.1: Generalidades
• Determinar a competência necessária (educação,
treinamento, experiência) para aqueles que afetam o
desempenho do SGAS;
• Onde aplicável, ações para adquirir e manter
competência;
• Avaliar eficácia das competências;
NOTA: Ações aplicáveis podem incluir, por exemplo: a

provisão de treinamento, o coaching, a mudança de
atribuições do pessoal ou parceiros de negócio; ou
empregar ou contratar pessoas competentes.
127
ISO 37001
7.2.2 Processo de Contratação de Pessoal
• 7.2.2.1: Em relação a TODO pessoal, adotar procedimentos:
• requeiram que o pessoal cumpra a política e com o SGAS;

• receba uma cópia e treinamento em relação a política;
• procedimentos de ações disciplinares apropriadas;
• não sofrerá retaliação, discriminação ou ações disciplinares
• Por ameaças, isolamento, rebaixamento,
impedimento de promoção, transferência,
demissão, assédio, vitimização, ou
outras formas de intimidação)
• por recusar participar ou declinar de ações com risco de
suborno:
• por preocupações levantadas ou relatadas.
128
64
26/06/2023
ISO 37001
• 7.2.2.2: para posições que estão expostas a risco de suborno, e à

função de compliance antissuborno, adotar procedimentos:
• due diligence: conduzida nas pessoas antes da contratação,

transferência, promoção;
• Bônus e outros incentivos: analisados periodicamente para verificar

salvaguardas para prevenir-los de encorajar o suborno;
• O pessoal, Alta direção e o órgão diretivo: firmem uma declaração a

intervalos razoáveis.
129
Gestão de riscos
Teoria da Fraude
130
65
26/06/2023
Teoria da fraude
O DIAMANTE DE FRAUDE é uma teoria que aborda as causas que motivam uma fraude.
A única forma
concreta de se
desenhar bons
controles internos é
“pensar como o(a)
fraudador(a)”, ou
seja, hipotisar a
maneira (mecânica)
de como seria
colocado em prática
o ilícito.
131
Teoria da fraude
PRESSÃO
• Dívidas, vício no jogo ou em drogas, problemas de saúde,
metas de produtividade no trabalho, desejo por padrão de
vida superior.
OPORTUNIDADE
• Controles ineficazes, falhas de governança, organização
não está ciente; falta de monitoramento; a crença de que
ninguém se importa.
132
66
26/06/2023
Teoria da fraude
RACIONALIZAÇÃO
• Acredita ser moralmente aceitável (“eu estava apenas
pegando emprestado”, “eu merecia”, “foi para minha
família”, “não ganho o que mereço”;
CAPACIDADE
• Habilidades pessoais e técnicas para cometer a fraude.
133
Teoria da fraude
Fonte: Relatório “Perfil do Fraudador no Brasil” – KPMG – 2022 (LINK)
134
67
26/06/2023
Teoria da fraude
O DESAFIO, ALÉM
DE INVERTER A
QUANTIDADE, ÉÉ
INVERTER OS
PERCENTUAIS
135
Teoria da fraude
Fonte: Relatório “Perfil do Fraudador no Brasil” – KPMG – 2022 (LINK)
136
68
26/06/2023
Teoria da fraude
Um exemplo de
“CULTURA” em
gestão de riscos
é o tema passar
a ser padrão na
reunião de Board
Fonte: Pesquisa da Maturidade do Processo de Gestão de Riscos no Brasil – KPMG 2022 (LINK)
137
Teoria da fraude
Fonte: Pesquisa Global sobre Fraudes e Crimes Econômicos 2022, PwC (LINK)
138
69
26/06/2023
Gestão de Riscos
Foco ISO 37001, ISO 37301 e ISO 31000
139
Gestão de Riscos
Conceito
GESTÃO DE RISCOS É UMA CIÊNCIA
▪ A gestão de riscos é fundamental pois é a espinha dorsal de um

Programa de Integridade.
▪ Todo o Programa deriva da gestão dos riscos;
▪ A gestão de riscos deve utilizar ferramentas e não ser um

processo empírico
▪ Sua ineficácia coloca em risco a credibilidade do programa de

integridade
A gestão de riscos DEVE

SEGUIR UM MÉTODO.
Os slides a seguir trazem

um exemplo de método
140
70
26/06/2023
Gestão de Riscos
Conceito
A gestão e riscos com base na ISO 31000 já é considerada por

mercado e poder público. Exemplos:
▪ Guia Prático de Gestão de Riscos para a Integridade Set/18 – CGU
▪ Referencial de Combate à Fraude e Corrupção 2ª Ed. Nov/18 – TCU
▪ Decreto No. 9.406/19 - Programa de Compliance Público no Poder

Executivo do Estado de Goiás;
141
Gestão de Riscos
Conceito
QUESTÃO
Na fabricação de um bem (EDIFÍCIO), quais destes itens é um

risco?
a) Atraso na importação de matéria-prima;
b) Dimensões construtivas;
RISCO é uma ameaça ou
incerteza.
c) Normas técnicas aplicáveis;
O que é diferente de
d) Cumprimento da legislação;
REQUISITO que é uma
prerrogativa da conformidade
142
71
26/06/2023
Gestão de Riscos
Conceito
As opções para abordar riscos são

(ISO 37001 e ISO 31000):
QUESTÃO -Evitar o risco;

-Assumir o risco para oportunidades;
-Eliminar a fonte;
De que forma um risco pode ser eliminado? -Mudar probabilidade / consequencia
-Compartilhar o risco;
-Decidir com base em informação;
-Reter o risco;
a) Mitigando seus efeitos adversos;
b) Eliminado a fonte;
A única maneira de
c) Por meio de uma análise SWOT; eliminar um risco é
eliminando a fonte.
d) Realizando um Brainstorm;
O que é possível é
reduzir chances de
ocorrência e impacto
143
Gestão de Riscos
Conceito
Sair da lógica de PROTEÇÃO
Entrar na lógica de PREVENÇÃO
NÃO PODE TER BURACO!!

PROGRAMA DE MANUTENÇÃO
PLANO DE MONITORAMENTO
TREINAMENTO EQUIPE
QUALIFICAÇÃO DE FORNECEDORES
Todo CONTROLE deriva da
MELHOR COMPRA
CAUSA (mecânica do ilícito)
144
72
26/06/2023
Gestão de Riscos
Conceito para ISO 37001 e ISO 37301
A avaliação de riscos deve

abranger todos os processos
da organização e seus
parceiros de negócio
(fornecedores, clientes,
acionistas etc)
Para todos os RISCOS

SIGNIFICATIVOS
(acima do apetite)
controles internos são
estabelecidos
145
Gestão de Riscos
Abordagem
PRINCÍPIO:
A transparência e independência devem ser
princípios para a adequada identificação e gestão A não tangibilização de
dos riscos: um dano não significa que
o risco não existe
TRANSPARÊNCIA
MÚTUO ENTRE EMPRESAS (RISCO PURO)
(INTERCOMPANY)
“A ausência de evidência não é
evidência de ausência” (Carl Sagan)
A EQUIPE de Riscos deve possuir:
PAGAMENTO DE FORNECEDORES
• Conhecimento do Processo DISTRIBUIÇÃO DE DIVIDENDOS
• Conhecimento técnico
• Conhecimento regulatório
• Conhecimento dos riscos
• Conhecimento de ferramentas de
análise de riscos Independência
• Independência
COMPOSTA POR 1 OU MAIS PESSOAS
146
73
26/06/2023
Gestão de Riscos
Lista exemplificada de riscos de corrupção
LISTA DE VERIFICAÇÃO DE RISCOS (exemplos)
Categoria de risco Exemplos de riscos específicos

Abuso de posição ou • Concessão de cargo ou vantagens em troca de apoio ou auxílio
de poder • Esquivar-se do cumprimento de obrigações
• Falsificação de informação para interesses privados
• Outras formas de favorecimento para si ou a outros
Favorecimento em • Conluio para não aplicação de controles

contratações de • Conluio para realização de ilícitos
pessoal • Contratação de pessoal não competente para a gestão dos riscos
Favorecimento em • Superfaturamento
contratações de • Fraudes (serviços ou produtos não compatíveis com a contratação)
fornecedores • Compras desnecessárias
• Lavagem de dinheiro
• Cláusulas contratuais falhas
Conflito de • Uso de informação privilegiada

interesses • Favorecimento de uma parte interessada
• Aprovação de atividades ou pagtos onde haja relacionamento ou interesse
• Recebimento de presente, brindes, hospitalidades, benefícios e doações
similares que afetem a independência
• Recebimento de suborno
Nota: foram utilizadas como referências parciais o “Guia de Avaliação de Risco de Corrupção do Pacto Global da ONU 2013” (LINK)
e o “Guia Prático de Gestão de Riscos para a Integridade da CGU 2018” (LINK).
147
Gestão de Riscos
Lista exemplificada de riscos de corrupção (continuação)
LISTA DE VERIFICAÇÃO DE RISCOS (exemplos) – CONTINUAÇÃO
Corrupção passiva • Pressão ou ameaça de retaliação por agente público

• Solicitação de suborno
Corrupção ativa • Pagamento de suborno (direta ou indiretamente)

• Oferecimento de presentes, brindes, hospitalidades, benefícios e doações
similares que afetem a independência
Pressão interna ou • Influência sobre pessoal para violar condutas

externa antiética • Ações de retaliação contra possíveis denunciantes
ou ilegal • Lobby realizado fora dos limites legais ou éticos
• Tráfico de influência
Vantagem indevida • Enriquecimento ilícito

• Desvio de recurso material ou não
• Apropriação indevida
Falta de • Processos decisórios não rastreáveis

governança • Decisões tomadas por pessoal não autorizado
• Pagamentos não adequadamente rastreáveis
• Uso de dinheiro em espécie
• Sigilo não justificado
148
74
26/06/2023
Gestão de Riscos
Lista de reuniões entrevistas para avaliação de riscos (exemplo)
REUNIÕES E ENTREVISTAS PARA IDENTIFICAÇÃO E AVALIAÇÃO DE RISCO POR PROCESSO
Etapa Público-alvo Temas abordados Duração
estimada
1 Todos no processo • Aspectos básicos do Programa de Compliance e Integridade 1 hora
(funcionários e • Objetivos do processo de identificação dos riscos
subcontratados) • Metodologia a ser adotada
REUNIÃO
• Conceito de riscos de ilícitos
• Conceitos de controles operacionais
2 Gestores do • Apresentação do mapeamento do processo e lista de obrigações 2 horas
processo REUNIÃO • Cronograma
3 Pessoal das • Validação do mapeamento do processo (existência e atividades não 8 horas
atividades e mapeadas)
gestores do • Risco para cada atividade (identificação)
processo • Frequência e impacto potencial (significância)
ENTREVISTA • Ocorrências relacionadas com ilícitos nos últimos 12 (doze) meses
• Desafios, complexidades e dificuldades do processo
• Interlocutores internos e externos (outros funcionários, fornecedores,
agentes públicos)
• Autoridades e responsabilidades principais X documentos internos
• Existência de agentes externos e representantes
• Aspectos de segurança dos dados e informações (armazenamento de
dados, confidencialidade etc.)
• Possibilidade de aprovação de produtos e serviços ou pagamentos
• Outras manifestações voluntárias do entrevistado
149
Gestão de Riscos
Avaliação da significância do risco - EXEMPLO
AVALIAÇÃO DA SIGNIFICÂNCIA DO RISCO

Impacto Muito
Irrelevante Leve Médio Grave
Grave
Considerar o
Frequência [1] [2] [3] [4] RISCO PURO,
[5]
ou seja, antes
Muito baixa Risco Risco Risco Risco Risco da adoção de
[1] BAIXO BAIXO MODERADO ELEVADO ELEVADO
qualquer
Baixa Risco Risco Risco Risco Risco controle
[2] BAIXO BAIXO MODERADO ELEVADO EXTREMO
APETITE A RISCO
Média Risco Risco Risco Risco Risco
[3] BAIXO MODERADO ELEVADO EXTREMO EXTREMO Adoção de
controle
Alta Risco Risco Risco Risco Risco operacional
[4] MODERADO ELEVADO ELEVADO EXTREMO EXTREMO
Muito Alta Risco Risco Risco Risco Risco >4

[5] ELEVADO ELEVADO EXTREMO EXTREMO EXTREMO
150
75
26/06/2023
Gestão de Riscos
Avaliação da significância do risco - EXEMPLO
Impacto
Tipo de Irrelevante Leve Médio Alto Muito Alto
impacto [1] [2] [3] [4] [5]
Sem valor
Aplicação de Perda de mais
Contratual monetário Notificação Perda do cliente
multa de um cliente
conhecido Se houver mais
Sem dano de Dano de Notícia em de um tipo de
Notícia em Notícia em impacto,
Reputacional imagem imagem junto grande mídia
mídia local mídia regional
conhecido ao cliente nacional selecionar o de
Sem dano de Perda de maior pontuação
Aplicação de
Regulatório regulatório Notificação certidão Inelegibilidade
multa
conhecido governamental
Fraude /
> R$ 100 > R$ 1.000 > R$ 10.000 > R$ 50.000 > R$ 50.001
desvio
Frequência
Muito baixa Baixa Média Alta Muito Alta Frequência
[1] [2] [3] [4] [5] significa o “nível
> 1 vês ao 1 vês mês semanal 1 vês ao > 1 vês ao de exposição” ao
mês dia dia risco
151
Gestão de Riscos
ISO 31000
O propósito principal
nestes slides, além de
explicar resumidamente
a ISO 31000, é
demonstrar como as
próprias normas
ISO 37001 e ISO
37301 estão
completamente
alinhadas com a ISO
31000
152
76
26/06/2023
Gestão de Riscos
ISO 31000
153
Gestão de Riscos
ISO 31000
154
77
26/06/2023
Gestão de Riscos
ISO 31000
155
Gestão de Riscos
ISO 31000
156
78
26/06/2023
Gestão de Riscos
Matriz de Riscos
ANÁLISE DOS RISCOS
A Organização deve efetuar uma avaliação de TODOS os RISCOS em todos os processos (abaixo
segue um exemplo de planilha de análise de riscos)
A estrutura do sistema de gestão O foco do

(procedimentos, controles, due controle deve
diligences etc) deriva estar na CAUSA
PRINCIPALMENTE daqueles riscos
consideradors SIGNIFICATIVOS
157
Gestão de Riscos
Ferramentas de análise
Existem diversas ferramentas estruturadas para análise de riscos. Alguns exemplos:
• FMEA (Failure Mode Effect Analysis)
• HAZOP (Hazard and Operability Study)
• 5 Porquês
• Check-lists
• Ishikawa (Espinha de Peixe)
Nota: pode ser consultadas as normas técnicas NBR ISO 31000 – Gestão de Riscos e NBR ISO /
IEC 31010 – Gestão de Riscos – Técnicas Para o Processo de Avaliação de Riscos
158
79
26/06/2023
Gestão de Riscos
DIAGRAMA DE ISHIKAWA (Espinha de Peixe)
Nesta ferramenta,
identifica-se a causa base
a partir do risco (problema)
entre um conjunto de 6
macro possibilidade (M)
159
Gestão de Riscos
5 PORQUÊS (ou COMO): para determinação da causa raiz
Nesta ferramenta, a partir

da identificação da causa
base (ver 6M Espinha de
Peixe), desdobra-se a
análise da causa até um
total de 5 Porquês
(normalmente aplica-se até
3 porquês) para chegar à
causa raiz .
160
80
26/06/2023
Gestão de Riscos
ANÁLISE DO RISCO
Processo Atividad Risco Causa Controle (tratar Monitorament Verificação
e principal a causa) o do processo Eficácia
(mitigação do
risco)
Suprimentos Cotação Privilegiar
indevidamen
te um
fornecedor
não
competitivo
161
Gestão de Riscos
ANÁLISE DA CAUSA (YSHIKAWA)
Risco: Privilegiar indevidamente um fornecedor não competitivo
Método Máquina Medida Meio Ambiente Material Mão de Obra
NA Possibilidade NA (a aprovação NA NA (processo NA (pessoal

(procedimento apagar cotação do gerente não eletrônico) competente)
prevê que é recebida consegue
proibido) detectar)
162
81
26/06/2023
Gestão de Riscos
5 PORQUÊS (PARA DETERMINAÇÃO A AÇÃO)
Causa principal: Possibilidade apagar cotação recebida
Porquê (ou como) 1 Porquê (ou como) 2 Porquê (ou como) 3 Porquê (ou como) 4 Porquê (ou como) 5
Porquê a cotação é Porquê o Porquê não há um NA NA

enviada diretamente procedimento prevê CRM ou equivalente
para o comprador, o envio por e-mail para postar as
que pode deletá-la e cotações, sem
informar o preço ao acesso do
seu fornecedor de comprador
preferência
163
Gestão de Riscos
ANÁLISE DO RISCO
Processo Atividad Risco Causa Controle (tratar Monitorament Verificação

e principal a causa) o do processo Eficácia
(mitigação do
risco)
Suprimentos Cotação Privilegiar Recebimento Supervisão Ex 1: Teste do

Porquê não há
de cotações sistema (tentar
indevidamen um CRM ou do gerente +
te um via portal acesso antes
equivalente
(acesso Controle
fornecedor para postar as das 3 cotações)
somente após periódico
não cotações, sem Ex 2: Comparar
competitivo 3 cotações) com cotações
acesso do
comprador independentes
164
82
26/06/2023
Gestão de Riscos
Exemplos de controles
Exemplos de controles operacionais específicos (para riscos significativos)
• Rastreamento e aprovação de • Declaração prévia de conflito de

presentes, brindes, hospitalidade e interesses
entretenimento • Cláusulas contratuais específicas
• Processo documentado de • Alçadas e níveis de aprovação
solicitação de cotação • Aprovação prévia para despesas
• Competição em processo de compra • Entrevistas e pesquisas de
• Controles contábeis desligamento de pessoal
• Controles financeiros (controladoria) • Rotatividade de pessoal operacional e
• Prestação de contas de decisões de gestão
tomadas • Critérios prévios para seleção de
• Certificação de conformidade da pessoal e gestores
pessoa jurídica • Critérios prévios para seleção de
• Evidência de materialidade de candidatos
produtos e serviços adquiridos • Aprovações duplas de pagamentos
• Agendamentos formais de reuniões (double check)
• Segregação de funções • Registros de reuniões ocorridas
• Avaliações de desempenho de pessoal
e fornecedores
• Automatização de processos
165
Gestão de Riscos
Matriz de Riscos
Não é possível
mitigar 100%
(eliminar),
enquanto houver a
RISCO RESIDUAL - EXEMPLO fonte do risco
A adoção de risco residual permite entender se, a priori, os controles existentes reduziriam o
risco para a zona de “apetite ao risco”.
Nível de Mitigação
Profissional
Procedimentos Automação da Ocorrência do dano nos últimos 12
habilitado (B)
documentados (A) atividade (C) meses (D)
(formação técnica)
NÃO SIM
20% 20% 20% 20% -50%
EXEMPLO:
Risco 3 (frequência) x 5 (impacto) = 15 (Risco EXTREMO)
Mitigação = A (20%) + B (20% + C (20%) + D (20%) = 80%
RISCO MITIGADO = 15 – 80% = 3 (Risco BAIXO) (dentro do apetite a risco)
166
83
26/06/2023
Gestão de Riscos
75%
3
167
Gestão de Riscos
Conclusões
Gestão de riscos deve ser realizada com base em

ferramentas e métodos;
A estruturação dos Programas de Compliance e

Integridade devem partir do risk assessment;
168
84
26/06/2023
ISO 37001
Cláusula 7 - Apoio
7.3 CONSCIENTIZAÇÃO E TREINAMENTO
• Prover conscientização antissuborno e treinamento, abordando:
• A política antissuborno, os procedimentos, e sua obrigação;
• Os riscos de suborno e os danos causados, e circunstâncias;
• Responder a solicitações ou ofertas de suborno;
• Como prevenir e evitar suborno e reconhecer riscos de suborno;
• Potenciais consequências de não estar em conformidade;
• Relatar quaisquer preocupações;
• Treinamento em bases regulares, e quaisquer mudanças.

• Programas atualizados periodicamente.
• Treinamento para os parceiros de negócio;
• Reter informação documentada sobre os procedimentos, o conteúdo, e
quando e para quem foi dado.
169
ISO 37001 IMPORTANTE:

• O foco principal da norma não é a
Cláusula 7 - Apoio comunicação interna corporativa
(exemplo: RH);
• O foco está na transmissão de

7.4 COMUNICAÇÃO informações entre processos internos
(exemplo: relatório de controladoria,
• 7.4.1 Determinar métodos de comunicação, incluindo: relatório de auditoria);
• Sobre o que ela irá comunicar; • Também inclui envio para partes
• Quando comunicar; externas (exemplo: relatórios para
órgãos de controle);
• Com quem comunicar;
• O procedimento de cada área pode
• Como comunicar; descrever o método de comunicação
• Quem comunicará;
• Os idiomas nos quais se comunicar.
• 7.4.2 A política deve estar disponível para todo o

pessoal e os parceiros de negócio, ser
comunicada diretamente nos idiomas, e deve ser
publicada em todos os canais de comunicação
internos e externos.
170
85
26/06/2023
ISO 37001
Cláusula 7 - Apoio
Controle da informação documentada
DOCUMENTO CONTROLES
Identificação Título
Data Controle Revisão
Diz como se FAZ
Autor Análise crítica
Aprovação Paginação
CONTEÚDO
Deve ser
“desenhado” para Métodos Critérios
atingir OBJETIVOS Objetivos Controles operacionais
e gerir RISCOS Autoridades Responsabilidades
REGISTRO CONTROLES
Identificação Distribuição
Acesso Recuperação
Diz como foi FEITO
Preservação Armazenamento
Retenção Disposição
171
ISO 37001
Cláusula 7 - Apoio
7.5 INFORMAÇÃO DOCUMENTADA
7.5.1 Generalidades
• Definir informação documentada requerida pela norma;

• Definir informação documentada determinada como necessária para
a eficácia do SGAS.
A informação documentada pode ser retida como parte de outros sistemas

de gestão.
7.5.2 Criando e atualizando
• Ao criar e atualizar a informação documentada:

• Identificação e descrição (título, data, autor ou um número);
• Formato (idioma, software, gráficos) e meio (papel, eletrônico);
• Análise crítica e aprovação.
172
86
26/06/2023
ISO 37001
Cláusula 7 - Apoio
7.5.3 Controle da informação documentada
• A informação documentada deve ser controlada para assegurar:

• esteja disponível e apropriada para o uso;
• esteja protegida (confidencialidade, uso impróprio ou
integridade).
• Para o controle, deve abordar:

• Distribuição, acesso, recuperação e uso;
• Armazenamento e preservação, legibilidade;
• Controle de alterações (controle de versão);
• Retenção e disposição.
• Informação documentada de origem externa necessária para o

planejamento e operação do SGAS deve ser identificada como
apropriado, e controlada.
173
ISO 37001
Cláusula 8 - Operação
8.1 Planejamento e controle

operacionais 8.6 Comprometimento
antissuborno
8.2 Due dilligence
8.7 Presentes, hospitalidades,
8.3 Controles financeiros doações e benefícios
8.8 Gerenciando controles

8.4 Controles não financeiros inadequados de antissuborno
8.9 Levantando preocupações

8.5 Implementação de
controles antissuborno por
organizações controladas e por 8.10 Investigando e lidando com o
parceiros de negócio suborno
174
87
26/06/2023
ISO 37001
8.1 PLANEJAMENTO E CONTROLE OPERACIONAL
Qualquer processo
• Planejar, implementar, analisar e controlar os processos do
da organização deve
SGAS; ser objeto de
• Definir critérios para os processos; avaliação de risco e
• Implementar controle de processos; controle. Não pode
ser excluído por ser
• Manter informações documentadas sobre a confiança terceirizado
na execução.
• Controlar mudanças planejadas, analisar consequências de

mudanças não intencionais, mitigando consequências;
• Asseguar controle de processos terceirizados;
175
ISO 37001
8.2 DUE DILIGENCE
• Para riscos de suborno significativos relativos à:
• Transações, projetos ou atividades;
• Relacionamentos com parceiros de negócio;
• Pessoal em determinadas posições;
• Realizar due diligence para obter informação suficiente para

avaliar o risco de suborno:
Due diligence não
• Avaliação com frequência definida. é um controle
• Nota: A organização pode concluir que é operacional.
desnecessário, não razoável ou
desproporcional É apenas um processo
Devidamente para conhecer e avaliar
justificado os riscos da relação
176
88
26/06/2023
Due Dilicence
RISCO AO SGAS SIGNIFICATIVO
PARCEIROS DE NEGÓCIO REALIZA

DUE DILIGENCE
E PROJETOS
- Clientes
- Fornecedores PESSOAL DA ORGANIZAÇÃO
- Subcontratados - Ata Direção
- Acionistas - Funcionários
- Conselheiros - PJ Exclusivo
- Joint Ventures
- Representantes
- Etc
RISCO AO SGAS NÃO SIGNIFICATIVO

ou
desnecessário, não razoável ou desproporcional; NÃO REALIZA
DUE DILIGENCE
177
Atenção aos limites

Due diligence legais da pesquisa
ASPECTOS POTENCIAS DE AVALIAÇÃO (CONFORME OS RISCOS)

Item (PF / PJ) Objetivo
Questionário Obter uma autodeclaração para subsidiar a due diligence
Currículo / principais clientes Conhecer relações com outras organizações / concorrentes
Constituição legal Organização legalmente constituída
Sócios e controladores Potenciais conflitos de interesse e riscos
Certidões Fiscais e tribut. Regularidade fiscal e tributária (indícios de irregularidades)
Balanço e indicadores Saúde financeira X propensão à fraudes
Certidões técnicas Efetiva competência técnica (não laranja ou para compor orçamento)
Certidões criminais Ilícitos praticados no passado recente
Websites jurídicos Ilícitos praticados / em processo no passado recente
Notícias em mídia Indícios de ilícitos
Certificações (ISO e outras) Efetiva competência técnica e disponibilidade de um SGAS
Relações políticas Potenciais conflitos de interesse e riscos
Background check Aprofundamento estruturado de potenciais riscos
A análise deve considerar o risco e não ser “sine qua non” (exemplo: relações políticas)
178
89
26/06/2023
ISO 37001
8.3 CONTROLES FINANCEIROS
• Implementar controles financeiros que

gerenciem os riscos de suborno;
Exemplos:
• separação de funções de execução e aprovação
• níveis escalonados de aprovação
• verificação dos dados de pagamento x contrato
• duas assinaturas para pagamentos
• anexar documentos apropriados ao processo de pagamento
• restringir uso de dinheiro em espécie
• controle de fluxo de caixa
• centros de custo com descrições claras
• auditorias independentes periódicas (com rodízio)
• rodízio de funções de aprovação
179
ISO 37001
8.4 CONTROLES NÃO FINANCEIROS
• Implementar controles NÃO financeiros

que gerenciem os riscos de suborno em:
Compras;
Operação;
Comercial;
RH;
Tecnologia da Informação;
• Atividades legais e regulatórias;
180
90
26/06/2023
ISO 37001

Compras; Exemplos:
Operação; • Três cotações
Comercial; • Desenvolvimento de novos fornecedores
RH;
• Rodízio de compradores nas funções
• Descrição técnica clara da demanda
181
ISO 37001

Compras;
Operação; Exemplos:
Comercial;
• Controle de materiais e serviços adquiridos
RH;
• Relatórios de execução (materialização)
182
91
26/06/2023
ISO 37001

Compras;
Operação;
Comercial;
Exemplos:
RH;
• Planilhas de formação de preços
• Duas assinaturas para as propostas
• Rodízio de pessoal nas funções comerciais
• Políticas de preços e descontos
• Procedimento de contato com clientes
183
ISO 37001

Compras;
Operação;
Comercial;
RH; Exemplos:
• Descrições de função
• Avaliação de desempenho
• Pesquisa de clima
184
92
26/06/2023
ISO 37001

Compras;
Operação;
Comercial;
RH;
Tecnologia da Informação; Exemplos:
• Controle de acessos
• Política de segurança da informação
• Monitoramento (Red Flag, Yellow Flag)
185
ISO 37001

Compras;
Operação;
Comercial;
RH;
Exemplos:
• Análise de alçadas e procurações
• Verificação de contratos
186
93
26/06/2023
ISO 37001
8.5 IMPLEMENTAÇÃO DE CONTROLES ANTISSUBORNO POR
ORGANIZAÇÕES CONTROLADAS E POR PARCEIROS DE NEGÓCIO
Aplicável a:
ORGANIZAÇÕES NÃO
CONTROLADAS
• Empresas onde a
organização seja sócia
Holding controladora
Sócio PJ
Subcontratado • Consórcios onde seja o

Fornecedores líder
Outras empresas
do Grupo
ORGANIZAÇÕES • Start-up onde seja o
CONTROLADAS acionista majoritário
CNPJ Matriz Monitoramento

ACIONISTA MAJORITÁRIO OU
CONTROLADOR Deve monitorar a
implementação e eficácia
(Exemplo: executar ou
aceitar relatórios de
auditora)
Consórcio Startup Joint Ventures Outras
empresas
187
ISO 37001

• 8.5.1 Implementar procedimentos para assegurar com

organizações controladas:
• Implementem o SGAS da organização, OU
• Implementem seus próprios controles
antissuborno;
• Nota: uma organização tem controle sobre outra organização se

ela controla,direta ou indiretamente, a gestão da organização.
188
94
26/06/2023
ISO 37001

• 8.5.2 Parceiros de negócios não controlados pela organização com
risco de suborno (com base em due dilligence ou nível de risco):
• Determinar se possuem controles antissuborno que

gerencie os riscos;
• Caso não possua controles ou não seja possível verificar:
• Requerer, onde praticável, que o parceiro de negócio

implemente controles antissuborno, ou
Exemplo: Pode ser
• Onde não seja praticável requerer, levar em conta na verificado como parte
avaliação de riscos de suborno em relação a este da Due Diligence
parceiro de negócio e da maneira como gerencia tais
riscos.
189
ISO 37001
8.6 COMPROMETIMENTO ANTISSUBORNO
• Para o parceiro de negócio (com base no nível de risco),

onde praticável, implementar:
• Que o parceiro se comprometa a prevenir o
suborno;
• Que a organização seja capaz de encerrar o
relacionamento com o parceiro em caso de
suborno; Onde não praticável (Exemplo:
clientes do setor público com
• Onde não praticável um dos itens acima, levar em conta minutas contratuais prontas):
na avaliação de riscos de suborno em relação a este - Buscar solicitar a inclusão das

parceiro de negócio e da maneira como gerencia tais cláusulas de comprometimento
antissuborno;
riscos.
- Guardar esta evidência (exemplo:
e-mail)
190
95
26/06/2023
CONTROLES REQUERIDOS
Comprometimento Antissuborno
PARCEIROS CONTROLADOS
CONSÓRCIOS
JOINT-VENTURES • APLIQUE O SGAS DA
(líder ou maior OUTRAS EMPRESAS ORGANIZAÇÃO
acionista) (onde a Organização ou
possua sociedade e
• POSSUA SEUS CONTROLES
controle acionário)
EMPRESAS DO ANTISSUBORNO
GRUPO
(geridas pela
• Nota: Auditoria Interna com
holding)
avaliação da eficácia
Investidor Representantes • COMPROMISSO ANTISSUBORNO
Parceiros de • CLÁUSULA COM POSSIBILIDADE

Fornecedor Consultor DE ROMPIMENTO DE CONTRADO
Joint Ventures
EM CASO DE SUBORNO (se
Subcontratado possível)
Clientes Conselheiro
PARCEIROS NÃO CONTROLADOS
191
Atividade Individual
Quizz 2
Generalidades ISO 37001 e temas relacionados
• Acessem www.kahoot.it
• Digitem o código informado pelo instrutor
• 10 questões alternativas
• Duração: 10 minutos
192
96
26/06/2023
Importante que politicas
ISO 37001
subjetivas (qualitativas) sejam
desenvolvidas dentro de um
Cláusula 8 - Operação ambiente de governança
(exemplo: comitê composto pelas
partes interessadas)
8.7 PRESENTES, HOSPITALIDADES, DOAÇÕES E

BENEFÍCIOS SIMILARES
• Prevenir oferta, fornecimento e aceitação onde

possam ser razoavelmente percebidos como
suborno;
Exemplos:
Presentes Entretenimento
Hospitalidade; Doações políticas ou de caridade
Viagem de representante do cliente Viagem de representante de agente público
Despesas promocionais Patrocínio
Benefícios para comunidade Treinamentos
Associações à clubes Favores pessoais
Informação privilegiada e confidencial
193
ISO 37001
8.7 PRESENTES, HOSPITALIDADES, DOAÇÕES E

BENEFÍCIOS SIMILARES
Exemplos de controles
Total Proibição Despesa com valor máximo

Limite de frequência Ocasião (antes ou após negociações)
Razoabilidade Identidade (pessoas com poder de decisão)
Reciprocidade Contexto legal e regulatório
Aprovação prévia Registro de entrega ou aceitação
Análise influência na decisão Due diligence prévia do receptor
Divulgação pública Definição de tipologia de presentes etc
Análise contexto reputacional
194
97
26/06/2023
ISO 37001
8.8 GERENCIANDO CONTROLES INADEQUADOS DE

ANTISSUBORNO
• Onde a due dilligence (relacionamento, atividade, projeto ou

transação específico com um parceiro de negócio)
identificar que o risco não pode ser gerenciado, e que a
organização não pode ou deseja implementar controles
adicionais, ou ainda tomar outras medidas apropriadas para
possibilitar gerenciar os riscos de suborno:
• Relacionamento existente: tomar medidas para encerrar,

descontinuar, suspender ou cancelar, assim que praticável;
• Relacionamento novo: adiar ou recusar;
195
ISO 37001
Cláusula 8 – Operação
8.9 LEVANTANDO PREOCUPAÇÕES
• Procedimentos que:
• Encoraje o relato de práticas inadequadas;
• Assegurem confidencialidade (exceto na
extensão para avançar numa investigação);
• Relato de forma anônima, proibam retaliação
e protejam os denunciantes;
• Todos na organização devem conhecer, bem como seus

direitos e proteções;
• Nota: A organização pode usar um parceiro de negócio

para gerenciar o sistema de relato em seu nome.
196
98
26/06/2023
Aspectos relevantes da norma
8.10 INVESTIGANDO E LIDANDO O SUBORNO
• Implementar procedimentos:
• Avaliação e, onde apropriado, investigação de qualquer suborno,
ou violação da política do SGAS;
Neste processo reside, em grande
• Ação em caso de suborno, ou violação da política ou do SGAS; parte, o sucesso do SGAS!
• Dar poder e capacidade aos investigadores;
Quando as pessoas passam a
• Requeiram cooperação na investigação; e confiar no mecanismo de
denúncias, o SG se retroalimenta
• Resultados da investigação sejam relatados para a função de e começa a prover os resultados
compliance antissuborno, como apropriado; esperados e maior confiança e
• Investigação conduzida de forma confidencial. controle
• A investigação não deve ser relatada ao pessoal que faz parte do

papel ou função que está sendo investigado.
• A organização pode indicar um parceiro de negócio para conduzir a
investigação.
197

8.10 INVESTIGANDO E LIDANDO O SUBORNO
Exemplos: Considerações sobre investigações internas
• Levantamento dos aspectos regulatórios
• Avaliação de riscos reputacionais às pessoas envolvidas e medidas mitigatórias;
• Cláusulas para proteção dos investigadores e acesso ás informações
• Competência técnica dos investigadores
• Mecanismos para assegurar independência (avaliar contratar parceiro de negócio)
• Planejamento prévio (Plano de Investigação) para definir etapas, ouvir todas as pessoas
chave e estabelecer questões e documentos a serem coletados
• Em caso de ilícito, reportar às autoridades
• Envolver outras áreas especializadas (exemplo: RH) para planejamento e avaliar riscos
• Tecnologias para acesso devido e confiável às informações para decisão
• Segurança pessoal
• Envolver a alta direção (se aplicável) e Função Antissuborno
198
99
26/06/2023
ISO 37001
Cláusula 9 – Avaliação de Desempenho
9.1 Monitoramento, medição, análise e

avaliação
9.2 Auditoria interna
9.3 Análise crítica pela direção

- Análise pela alta direção
- Análise pelo órgão diretivo
9.4 Análise crítica pela função de compliance

antissuborno
199
ISO 37001
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO
• Determinar:
• O que precisa ser monitorado e medido;
• Quem é responsável pelo monitoramento;
• Métodos para monitoramento, medição, análise e avaliação;
• Quando o monitoramento e a medição devem ser realizados;
Exemplo
• Quando os resultados devem ser analisados e avaliados; • Os métodos de
monitoramento podem estar
• Para quem e como tais informações devem ser ser relatadas. definidos em cada
procedimento.
• Avaliar o desempenho antissuborno, eficiência e eficácia • A Função de Compliance
do SGAS; Antissuborno pode possui
uma Tabela Geral de
Monitoramentos
200
100
26/06/2023
ISO 37001
9.2 AUDITORIA INTERNA
• 9.2.1 Conduzir a intervalos planejados para avaliar:
• Conformidade dos requisitos da organização para o SGAS;

• Conformidade dos requisitos desta norma;
• Está implementado e mantido eficazmente.
Haverá um módulo
sobre auditoria de
sistemas de gestão
com base na ISO
19011
201
ISO 37001
• 9.2.2 A organização deve:
• Implementar programa de auditoria, incluindo a frequência,

métodos, responsabilidades, requisitos de planejamento
e relatórios, importância dos processos e os resultados
de auditorias anteriores;
• Definir os critérios e o escopo para cada auditoria;
• Selecionar auditores competentes e conduzir auditorias para
assegurar objetividade e imparcialidade;
• Assegurar que os resultados das auditorias são relatados para
a gerência, a função de compliance antissuborno, alta direção e,
como apropriado, o órgão diretivo/
202
101
26/06/2023
ISO 37001
• 9.2.3 Auditoria razoável, proporcional, baseada em risco,

analisando criticamente procedimentos para gerir:
• Suborno ou suspeita de suborno;

• Violação da política antissuborno ou dos requisitos do SGAS;
• Falha do parceiro de negócio em atender aos requisitos
antissuborno;
• Fragilidade ou oportunidades para melhoria do SGAS.
203
ISO 37001
• 9.2.4 Para assegurar a objetividade e imparcialidade, assegurar

que essas auditorias são conduzidas por:
• Uma função independente ou pessoal designado ou

estabelecido; ou
• A função de compliance antissuborno (exceto próprio SGAS);
ou
• Uma pessoa apropriada de um departamento ou outra função
diferente daquela que está sendo auditada; ou
• Uma terceira parte apropriada; ou
• Um grupo que contemple quaisquer das opções acima.
A organização deve assegurar que nenhum auditor está auditando sua

própria área de trabalho.
204
102
26/06/2023
ISO 37001
9.3 ANÁLISE CRÍTICA PELA DIREÇÃO

DADOS DE ENTRADA:
• Análises anteriores;
• Realizada em 2 níveis a intervalos planejados:
• Mudanças;
• Indicadores;
✓ Alta Direção
• Não-conformidades
✓ Órgão Diretivo (se houver);
• Medição e monitoramento;
• Denúncias;
• Resultados devem incluir decisão sobre a eficácia
• Auditorias;
e pertinência do SGAS;
• Investigações;
• Gestão dos riscos;
• Eficácia controles;
• Melhorias);
205
ISO 37001
Não basta “informar” o

Órgão Diretivo.
Este deve analisar

criticamente a eficácia
do SGAS
206
103
26/06/2023
ISO 37001
9.4 ANÁLISE CRÍTICA PELA FUNÇÃO DE COMPLIANCE

ANTISSUBORNO
A função de compliance antissuborno deve avaliar, em uma base

contínua, se o sistema de gestão antissuborno está:
a) adequado para gerenciar eficazmente os riscos de Exemplos

suborno enfrentados pela organização; • Reuniões periódicas com
gestores
b) sendo eficazmente implementado.
• Plano de monitoramento
(9.1 da ISO 37001)
• Inspeções nos processos
• Avaliações documentais via

software
• Relatórios internos de
desempenho e indicadores
207
Atividade em Grupo
Pesquisa + Entrega (em sala)

• Desenvolver Plano de monitoramento (cláusula 9.1 da ISO 37001), considerando:
- O que, Quem, Método, Quando monitora, Quando analisa resultados, Distribuição (quem e como)
- 02 monitoramentos distintos para 02 controles operacionais distintos
• Planilha com colunas:

- Risco, Controle operacional, Monitoramento (O que, Quem,
Método, Quando monitora, Quando analisa resultados, Distribuição (quem e como))
Orientações
• Formulário
• Elaborar em 20 minutos
• Duração 5 minutos
• Representante do grupo apresenta (demais podem comentar)
208
104
26/06/2023
ISO 37001
Cláusula 10 – Melhoria
10.1 Não-conformidade e ação corretiva
10.2 Melhoria contínua
209
ISO 37001
10.1 NÃO-CONFORMIDADE E AÇÃO CORRETIVA
• Ao ocorrer uma NC (não-conformidade):
✓ Controlar, corrigir, lidar com as consequências;

✓ Analisar e eliminar as causas;
✓ Determinar se NC similar existe ou pode existir;
✓ Mudar o SGA (PDCA);
✓ Avaliar a eficácia das ações tomadas;
10.2 MELHORIA
• Melhorar continuamente a adequação, suficiência e eficácia

do SGAS;
210
105
26/06/2023
Aspectos
específicos
ISO 37301
Sistema de Gestão de Compliance
211
Trata-se de norma
internacional (ISO). A
norma nacional (ABNT
ISO 37301 NBR ISO) é apenas uma
Emissão da norma tradução
Versão
definitiva
Por ser uma norma de
(após 3
REQUISITOS (e não
consultas
diretrizes como a ISO
públicas)
19600), é certificável
A norma possui um
ANEXO A (não
normativo e não
auditado), mas muito
útil para a implantação
212
106
26/06/2023
ISO 37301
Emissão da norma
Substituída
pela ISO
37301
Mas a ISO
37001
permanece Publicada
- Inglês: Abr/21
Fonte: https://www.iso.org/standard/75080.html
- Português (Brasil): Jun/21
213
ISO 37301
Estrutura normativa
Programa de Compliance
Princípios e práticas gerais
ISO 37301 – Sistema de Gestão de Compliance

Prevenção aos riscos de não atendimento requisitos
Fonte: CGU (www.cgu.gov.br)
Prevenção aos riscos de corrupção
ISO 37001 – Sistema de Gestão Antissuborno
Prevenção aos riscos de suborno
214
107
26/06/2023
ISO 37301
Aspectos específicos X ISO 37001
Não é obrigatória uma Aspectos

estrutura de governança importantes, mas
(órgão diretivo), mas se não trazidos como
existir, DEVE PARTICIPAR requisitos
objetivos na
As atribuições do Órgão norma
Diretivo devem ser assumidas
pela Alta Direção A norma traz a
obrigação de uma
Governança
cultura de
corporativa não é um
compliance
requisito
(valores, ética,
A governança é restrita crenças e conduta)
à independência, que contribuem ao
autoridade e acesso da compliance
Função de Compliance (cláusula 5.1.2)
(cláusula 5.1.3)
215
ISO 37301
Aspectos específicos X ISO 37001
ESCOPO DE RISCOS A organização

pode selecionar o
• Trabalhista escopo de riscos de
seu sistema de
• Tributário gestão de
Compliance
ORGANIZAÇÃO • Ambiental
PÚBLICA OU
PRIVADA • Fraude
Por exemplo:
Riscos de
• Corrupção integridade da
Lei
• Lavagem de dinheiro Anticorrupção
• Etc
216
108
26/06/2023
ISO 37301
ATOS ILÍCITOS. Art. 5o da Lei 12.846/2013
d)fraudar licitação pública ou contrato dela

I - prometer, oferecer ou dar, direta ou indiretamente,
decorrente;
A ISO 37301
vantagem indevida a agente público, ou a
terceira pessoa a ele relacionada; e)criar, de modo fraudulento ou irregular,
pode
II - comprovadamente, financiar, custear, patrocinar ou de pessoa jurídica para participar de licitação pública abranger em
qualquer modo subvencionar a prática dos atos ou celebrar contrato administrativo; seu escopo
ilícitos previstos nesta Lei; f)obter vantagem ou benefício indevido, de de riscos
III - comprovadamente, utilizar-se de interposta pessoa modo fraudulento, de modificações ou prorrogações todos os atos
de contratos celebrados com a administração pública,
física ou jurídica para ocultar ou dissimular seus
sem autorização em lei, no ato convocatório da
ilícitos
reais interesses ou a identidade dos beneficiários dos atos
licitação pública ou nos respectivos instrumentos
praticados;
contratuais;
IV - no tocante a licitações e contratos:
g)manipular ou fraudar o equilíbrio econômico-
a)frustrar ou fraudar, mediante ajuste, combinação
financeiro dos contratos celebrados com a
ou qualquer outro expediente, o caráter competitivo de
administração pública;
procedimento licitatório público;
b) impedir, perturbar ou fraudar a realização de qualquer V - dificultar atividade de investigação ou
ato de procedimento licitatório público; fiscalização de órgãos, entidades ou agentes

públicos, ou intervir em sua atuação, inclusive no
c)afastar ou procurar afastar licitante, por meio âmbito das agências reguladoras e dos órgãos de
de fraude ou oferecimento de vantagem de qualquer fiscalização do sistema financeiro nacional. ///
tipo;
217
ISO 37301
Seria possível selecionar

ESCOPO DE RISCOS um escopo que abranja
“RISCOS DE ILÍCITOS
• Trabalhista INTEGRIDADE
PREVISTOS DA LEI
• Tributário ANTICORRUPÇÃO”
ORGANIZAÇÃO • Ambiental
PÚBLICA OU
PRIVADA • Fraude
ISO 37301:2021
• Corrupção
• Lavagem de dinheiro Escopo: Programa de Integridade
• Etc Riscos: Ilícitos previstos no Art.

5º da Lei 12.846/13
218
109
26/06/2023
Empreendedor individual, DESAFIO: Esclarecer

ESCOPO: muito bem os limites no
empresa, autoridade,
ISO 37301 parceria (ou parte ou
combinação) - CNPJ
• Riscos de
certificado para não
permitir entender aos
Aspectos específicos X ISO 37001 compliance
stakeholders que partes
• limites geográficos,
Se parte de uma não certificadas estão
• limites da
estrutura maior, pode ser abrangidas pelo escopo
organização
parte desta
EVITAR PROPAGANDA
ENGANOSA
Qualquer ORGANIZAÇÃO, pública ou privada, tem (INTENCIONAL OU NÃO)
essencialmente três propósitos:
Cumprir
Atingir
Prevenir OBRIGAÇÕES
OBJETIVOS
RISCOS
ISO 37301:2021
Escopo:
219
Terceira parte inclui Terceira parte: pessoa ou

fornecedores, órgão que é independente da
representantes, organização
ISO 37301 conselheiros etc
Nota: Todos os parceiros de
Aspectos específicos X ISO 37001 negócio são terceiras partes, mas
nem todas as terceiras partes são
parceiros de negócio (cláusula 3.30)
Due Diligence
Apesar de não aplicar o
Funções e Pessoal Processos terceirizados
termo due diligence, na
Terceiras partes prática, nada muda.
A due diligence nada

• Avaliar riscos de compliance • Processos terceirizados devem ser mais é que um
causados pelas funções e pessoal controlados (cláusula 8.1) processo para se
• Terceirização não dispensa a conhecer os riscos
• Aplicar due diligence antes organização das obrigações de
da contratação, transferência compliance No caso de processos
terceirizados e de
e promoção (cláusula 7.2.2)
• Avaliar riscos de compliance terceira parte, abrange a
dos processos terceirizados avaliação do risco de
parceiro de negócio
e de terceira parte executante quando de
(cláusula 4.6)
risco significativo
220
110
26/06/2023
Avaliação da Efetividade do Programa de Integridade
CERTIFICAÇÃO ISO 37301

Já existe o
PL 1588/2020
que requer a
Programa de Integridade certificação
dos Programas
de Integridade
com base em
norma técnica
ISO
221
IMPORTANTE: A Organização deve

ISO 37301 integrar seu Programa de
Compliance com a Estrutura de
Estrutura HLS ISO Sistema de Gestão e Requisitos
definidos pela Norma
(Cláusulas 1 a 3 não são requisitos)
A norma traz requisitos dos Cláusulas 4 a 10, conforme abaixo.
MESMA ESTRUTURA DA ISO 37001
4 – Contexto da Organização
5 - Liderança
6 - Planejamento
7 – Apoio
8 – Operação
9 – Avaliação do desempenho
10 - Melhoria
222
111
26/06/2023
ISO 37301
LEGENDA: DIFERENÇAS E SEMELHANÇAS
Ao longos dos slides são apresentadas as seguintes diferenciações
Texto igual ou sem alterações essenciais de requisitos para as duas normas
Texto específico para a ISO 37001 - Antissuborno
Texto específico para ISO 37301 - Compliance
223
ISO 37301
3.22 3.25 Pessoal
Diretores, administradores, contratados ou trabalhadores temporários e voluntários

da organização.
Indivíduos em uma relação reconhecida como uma relação de trabalho com base
em uma prática ou lei nacional, ou em qualquer relação contratual na qual a sua
atividade dependa da organização
Nota 1 de entrada: Diferentes tipos de pessoal apresentam diferentes tipos e graus de

risco de suborno e, portanto, podem ser tratados diferentemente pelos procedimentos de
gestão de risco de suborno e pelo processo de avaliação de riscos de suborno da
organização.
Nota 2 de entrada: Para orientações sobre contratados ou trabalhadores temporários,

ver A
224
112
26/06/2023
ISO 37301
3.23 3.8 Função de Compliance
Pessoa ou grupo de pessoas com responsabilidade e autoridade para a operação do

sistema de gestão de compliance
Nota 1 de entrada: Preferencialmente será atribuída a um indivíduo a supervisão global

do sistema de gestão de compliance
225
ISO 37301
3.25 Obrigações de Compliance
Requisitos que uma organização mandatoriamente tem que cumprir, como

também as que uma organização voluntariamente escolhe cumprir
3.26 compliance
Atendimento a todas as obrigações de compliance da organização
3.27 Não compliance
Não atendimento de obrigações de compliance
3.28 Cultura de compliance
Valores, ética, crenças e conduta que existem por toda a organização e interagem
com as estruturas e os sistemas de controle da organização para produzir normas
comportamento que contribuem com o compliance
226
113
26/06/2023
ISO 37301
CULTURA DE COMPLIANCE
EXEMPLOS DE ASPECTOS QUE CONTRIBUEM À CULTURA :
• Conjunto de valores publicados;

• Gestão à vista;
• Coerência de tratamento, independente de cargo;
• Orientação e liderança pelo exemplo;
• Avaliação pré-emprego adequada;
• Programa de indução que enfatize o compliance e valores organizacionais;
• Treinamento contínuo em compliance;
• Comunicação contínua sobre compliance;
• Avaliação de desempenho que considerem o compliance;
• Reconhecimento das ações na gestão do compliance;
• Medidas disciplinares em caso de desvios;
227
ISO 37301
3.29 Conduta
Comportamentos e práticas que impactam os resultados para os clientes,

empregados, fornecedores, mercados e a comunidade
3.31 Procedimento
Forma especificada de executar uma atividade ou um processo
228
114
26/06/2023
ISO 37301
4.1 Entendendo a Organização e Seu

Contexto
4.2 Entendendo as Necessidades e

Expectativas das Partes Interessadas
4.3 Determinando o escopo do Sistema

de Gestão
4.4 Sistema de Gestão
4.5 Obrigações de Compliance
4.6 4.5 Avaliação de riscos
229
Importante emitir uma lista

ou matriz referencial, e não
ISO 37301 um texto descritivo
Nota
• Sustentabilidade no contexto da
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO ONU trata de “utilizar os
recursos presentes sem
• Mapear questões internas e externas críticas: comprometer as gerações
• Tamanho, estrutura, autoridades; futuras” e deve abranges
• Localizações e setores onde opera; aspectos:
• Natureza, escala e complexidades, sustentabilidade; • - Ambiental
• - Social (pessoas, partes interessadas)
• modelo de negócio, estratégia
• - Econômico
• parceiros de negócio, negócios com terceiras partes
• Obrigações e deveres; contexto regulatório e legal
• Situação econômica
• Contexto ambiental, cultural e social
• Estruturas internas, políticas, processos, recursos e tecnologia
• Cultura de compliance
230
115
26/06/2023
ISO 37301
Nota
• Terceiras partes incluem parceiros
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO de negócio
(ver definição – cláusula 3.30) da ISO 37301
• Mapear questões internas e externas críticas:
• Natureza, escala e complexidades, sustentabilidade;
231
ISO 37301
Exemplos
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Balanços
• DRE – Demonstrações de
• Mapear questões internas e externas críticas: Resultado do Exercício
• Tamanho, estrutura, autoridades; • Demonstrações de Fluxo de Caixa
• Localizações e setores onde opera; • Valuation
• Natureza, escala e complexidades, sustentabilidade; • Resultados de auditorias fiscais
• Indicadores financeiros: Taxa de
Endividamento, EBIDTA etc
232
116
26/06/2023
ISO 37301
Exemplos:
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Instrumentos de sistemas de
gestão já presentes na
• Mapear questões internas e externas críticas: organização
• Softwares
• Mapeamento de processos
• Organogramas
• Documentos
• modelo de negócio, estratégia • Budgets
• controladas e controladoras; • Head Count (pessoal e suas
• parceiros de negócio, negócios com terceiras partes competências e atribuições)
233
ISO 37301
Exemplos:
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Valores publicados
• Pesquisa de cultura de compliance
• Mapear questões internas e externas críticas: • Posicionamentos formais da alta
• Tamanho, estrutura, autoridades; direção
• Localizações e setores onde opera; • Processos disciplinares
• Ver definição – cláusula 3.28 da ISO 37301
234
117
26/06/2023
ISO 37301
4.2 ENTENDENDO AS NECESSIDADES E

EXPECTATIVAS DAS PARTES INTERESSADAS
• Sem requisitos específicos significativos em relação à ISO 37001
4.3 DETERMINANDO O ESCOPO DO SISTEMA

DE GESTÃO ANTISSUBORNO COMPLIANCE
4.4 SISTEMA DE GESTÃO ANTISSUBORNO COMPLIANCE

235
ISO 37301
4.5 OBRIGAÇÕES DE COMPLIANCE
Identificar sistematicamente obrigações para suas atividades,

produtos e serviços, e avaliar o impacto.
EXEMPLOS
• Leis e regulamentos;
• Permissões, licenças ou outras formas de autorização;
• Ordens, regras ou diretrizes emitidas por agências reguladoras;
• Decisões de tribunais de justiça ou tribunais administrativos;
• Tratados, convenções e protocolos;
• Acordos com grupos comunitários ou organizações não governamentais;
• Acordos com autoridades públicas e clientes;
• Requisitos organizacionais, como políticas e procedimentos;
• Princípios voluntários ou códigos de práticas;
• Rotulagem voluntária ou compromissos ambientais;
• Obrigações decorrentes de acordos contratuais com a organização;
• Normas internacionais e industriais pertinentes;
236
118
26/06/2023
ISO 37301
Nota:
• Aqui, trata-se de essencialmente,
uma due diligence, já abrangido
4.5 4.6 AVALIAÇÃO DE RISCOS na cláusula 8.2 da ISO 37001
• Terceira parte inclui também
Avaliar regularmente os riscos; os fornecedores e demais partes
• Riscos que podem ser antecipados; que a organização se relaciona
• Analisar, avaliar e priorizar os riscos; (conselheiros, acionistas,
representantes, clientes etc)
• Avaliar a eficácia dos controles para mitigar os riscos;
• Riscos de compliance relacionados à atividades, produtos e
serviços, bem como, processos terceirizados e de terceira parte
Estabelecer critérios para avaliar seu nível de risco, e levar em conta os

objetivos e as políticas da organização;
A avaliação de riscos deve ser realizada periodicamente:
• Em uma base regular e com frequencia definida
• No momento de mudança significativa;
Manter informação documentada;
237
ISO 37301
5.1 Liderança e Comprometimento

- órgão diretivo e alta direção
- cultura de compliance
- governança de compliance
5.2 Política
5.3 Papeis, responsabilidades e

autoridades
- órgão diretivo e alta direção
- função de compliance
- direção
- pessoal
- tomada de decisão delegada
238
119
26/06/2023
ISO 37301
5.1.1 5.1.1 + 5.1.2 ÓRGÃO DIRETIVO E ALTA DIREÇÃO -

continuação
• Estabelecer e sustentar os valores da organização;
• Informados em tempo hábil sobre assuntos de compliance,
incluindo não compliance;
• O não compliance e o comportamento não compliance devem
ser tratados;
• Assegurar que as responsabilidades de compliance sejam
incluídas nas descrições de cargo
239
ISO 37301
5.1.2 CULTURA DE COMPLIANCE
• Desenvolver, manter e promover uma cultura de compliance

em todos os níveis;
• O Órgão Diretivo, a Alta Direção e os gestores devem
demonstrar um comprometimento ativo, visível,
consistente e sustentável, por meio de uma conduta e um
comportamento padrão, que seja requerido por toda a
organização.
• A Alta Direção deve encorajar um comportamento que crie e
apoie o compliance. Deve-se prevenir e não tolerar
comportamentos que comprometam o compliance.
240
120
26/06/2023
ISO 37301
Nota:
• Estes requisitos já
5.1.3 GOVERNANÇA DE COMPLIANCE constam da cláusula
5.3.2 da ISO 37001
Assegurar:
• acesso direto da função de compliance ao Órgão Diretivo;

• independência da função de compliance;
• autoridade e competência apropriada da função de compliance;
NOTA 1 O acesso direto pode incluir: linha de subordinação direta ao Órgão

Diretivo, apresentação de relatórios periódicos Órgão Diretivo e participação
em suas reuniões.
NOTA 2 A independência significa ausência de quaisquer interferências ou
pressão, ou ambos, com a operação da função de compliance
241
ISO 37301
5.2 POLÍTICA (COMPLIANCE E ANTISSUBORNO)
• Proíba o suborno;
• Compromisso formal com o Sistema de Gestão;
• Encoraje o levantamento de preocupações, sem medo de
represália;
• Explique a autoridade e independência da Função de Compliance
Antissuborno;
• Explique consequências do não cumprimento da política;
• Deve ser comunicada aos parceiros de negócio;
• Disponível às partes interessadas (Documento público)
• estar alinhada com os valores, objetivos e estratégia da
organização;
• apoiar os princípios de governança de compliance de acordo com
5.1.3;
• fazer referência e descrever a função de compliance;
• ser adequadamente implementada e condicionada;
242
121
26/06/2023
ISO 37301
5.3.1 Papéis e responsabilidades Órgão Diretivo e Alta Direção

- continuação
O Órgão Diretivo deve assegurar:
• que a Alta Direção é avaliada com base no alcance dos objetivos
de compliance;
A Alta Direção deve assegurar:
• alinhamento entre metas e as obrigações de compliance;
• responsabilização incluindo ações disciplinares e consequências;
• integração de desempenho do compliance na Avaliação do
Desempenho do pessoal;
243
ISO 37301

5.3.2 Função De Compliance - continuação
• Supervisionar que todas as pessoas pertinentes são

treinadas, conforme requerido;
• Prover orientação especializada sobre leis pertinentes,
regulamentações, códigos e normas organizacionais.
• Ter acesso a tomadores de decisão seniores e a
oportunidade de contribuir no início dos processos de
tomada de decisão;
NOTA As obrigações específicas da função de compliance não

dispensam outras pessoas das suas responsabilidades pelo
compliance.
244
122
26/06/2023
ISO 37301

5.3.3 Tomada de decisão delegada
Requisito específico da ISO 37001
5.1.2 5.3.3 Direção
Ser responsável pelo compliance através de (adicionais à cláusula

5.1.2 da ISO 37001, já apresentada):
• Participando ativamente na gestão e resolução de

incidentes relacionados a compliance e outras questões;
• Assegurando que ações corretivas apropriadas sejam
recomendadas e implementadas.
245
ISO 37301

5.3.4 Pessoal
Todo pessoal deve:
• Aderir às obrigações de compliance da organização,

aos procedimentos, processos e políticas;
• Reportar preocupações de compliance, questões e
falhas;
• Participar dos treinamentos, conforme requerido.
246
123
26/06/2023
ISO 37301
6.1 Ações para abordar riscos e

oportunidades
6.2 Objetivos e planejamento para

alcança-los
6.3 Planejamento de mudanças
247
ISO 37301
6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES

Nota:
• Este requisito já consta
6.2 OBJETIVOS E PLANEJAMENTO PARA ALCANÇÁ-LOS de parte da cláusula
8.1 da ISO 37001
8. 1 6.3 PLANEJAMENTO DE MUDANÇAS
• Quando a organização determina as necessidades para mudanças

do sistema de gestão, estas mudanças devem ser conduzidas de
uma forma planejada
248
124
26/06/2023
ISO 37301
7.1 Recursos
7.2 Competências
- Generalidades
- Processo de contratação
- Treinamento
7.3 Conscientização e treinamento
7.4 Comunicação
7.5 Informação documentada

- Generalidades
- Criando e atualizando
- Controle da informação documentada
249
ISO 37301
7.1 RECURSOS
7.2 COMPETÊNCIA
7.2.1 Generalidades
250
125
26/06/2023
ISO 37301
Cláusula 7 - Apoio
7.3 CONSCIENTIZAÇÃO E TREINAMENTO Nota:

• A ISO 37301 requer
7.2.3 Treinamento 7.3 Conscientização que os riscos sejam
• Prover conscientização e treinamento, abordando: levados em conta no
treinamento
• A política, os procedimentos, e sua obrigação;
• Os riscos e os danos causados, e circunstâncias;
• Responder a solicitações ou ofertas de suborno;
• Como prevenir e evitar suborno e reconhecer riscos de suborno;
• Potenciais consequências de não estar em conformidade;
• Relatar quaisquer preocupações;
• Relação da política de compliance e obrigações
• Treinamento em bases regulares, e quaisquer mudanças.

• Programas atualizados periodicamente.
• Treinamento para terceira parte;
• Reter informação documentada sobre os procedimentos, o conteúdo, e
quando e para quem foi dado.
251
ISO 37301
Cláusula 7 - Apoio
7.4 COMUNICAÇÃO - continuação
A organização deve considerar / assegurar:

• A comunicação da sua cultura, obrigações e objetivos de compliance;
• Que a informação sobre compliance consistente e confiável.
• Que possibilita ao pessoal contribuir com a melhoria contínua;
• Aspectos de diversidade e de barreiras potenciais;
• Os pontos de vista das partes interessadas;
• Resposta às comunicações pertinentes sobre o seu sistema de gestão;
• Retenção de informação documentada, como evidência da comunicação;
• A comunicar interna de informações pertinentes do sistema de gestão;
• Que possibilita ao pessoal levantar preocupações
• A comunicação externa de informações pertinentes do sistema de gestão
252
126
26/06/2023
ISO 37301
Cláusula 7 - Apoio
7.5 INFORMAÇÃO DOCUMENTADA
253
ISO 37301
8.1 Planejamento operacional e

controle 8.6 Comprometimento
antissuborno
8.2 Estabelecendo controle e
procedimentos
8.7 Presentes, hospitalidades,
doações e benefícios
8.2 Due dilligence
8.3 Controles financeiros 8.8 Gerenciando controles

inadequados de antissuborno
8.4 Controles não financeiros

8.9 8.3
/ Levantando
preocupações
8.5 Implementação de controles
antissuborno por organizações
controladas e por parceiros de 8.10 8.4 / Processo de
negócio investigação
254
127
26/06/2023
ISO 37301
Qualquer processo
da organização deve
8.1 PLANEJAMENTO OPERACIONAL E CONTROLE ser objeto de
avaliação de risco e
• Sem requisitos específicos significativos em relação à ISO 37001 controle. Não pode
ser excluído por ser
terceirizado
8.2 ESTABELECENDO CONTROLES E PROCEDIMENTOS
• Implementar controles para gerenciar as obrigações de

compliance e os riscos de compliance associados;
• Devem ser mantidos, analisados criticamente de forma periódica e
Nota:
testados para assegurar a sua contínua eficácia.
• Diluídos os requisitos
NOTA Controle de teste significa realizar um exercício projetado das cláusulas 8.2 a 8.8
(simulação) para verificar se o controle realiza o que foi pretendido ou não da ISO 37001
pode ser contornado, para reduzir o impacto ou a probabilidade do risco
255
ISO 37301
Cláusula 8 – Operação
8.9 8.3 LEVANTANDO PREOCUPAÇÕES
• Procedimentos que:
• Encorajem o relato de boa-fé de práticas inadequadas de
suspeita ou real de suborno, ou qualquer violação ou fragilidade
fraqueza da Política de Antissuborno Compliance ou das
obrigações de compliance
• Assegurem confidencialidade (exceto na extensão para avançar
numa investigação);
• Assegurem relato de forma anônima, proibam retaliação e
protejam os denunciantes;
• Todos na organização devem conhecer, bem como seus direitos e

proteções;
• Nota: A organização pode usar um parceiro de negócio para

gerenciar o sistema de relato em seu nome.
256
128
26/06/2023
8.10 8.4 PROCESSO DE INVESTIGAÇÃO

• Implementar procedimentos avaliar, verificar, investigar e encerrar os relatos de
de suborno e não compliance, sejam reais ou suspeitos:
• Avaliação e, onde apropriado, investigação, ou violação da política do SG;
• Ação em caso de suborno ou não compliance, ou violação da política / SG;
• Dar poder e capacidade aos investigadores;
• Requeiram cooperação na investigação; e
• Resultados da investigação relatados para a função de compliance;
• Investigação conduzida de forma confidencial;
• Independente e sem conflito de interesse, por pessoal competente;
• A investigação deve ser relatada ao pessoal que não faz parte do papel ou
função que está sendo investigado;
• Assegurar tomada de decisão justa e imparcial
• Resultados devem ser utilizados para melhoria contínua (ver seção 10);
• Reportar regularmente os resultados para Órgão Diretivo ou Alta Direção.
257
ISO 37301
Cláusula 9 – Avaliação do Desempenho
9.1 Monitoramento, medição, análise e avaliação

- Generalidades
- Fontes de feedback sobre o desempenho de compliance
- Desenvolvimento de indicadores
- Relatórios de compliance
- Manutenção de registros
9.2 Auditoria interna

- Generalidades
- Programa de auditoria interna
9.3 Análise crítica pela direção (e órgão diretivo)

- Generalidades
- Entradas para análise crítica pela direção
- Resultados da análise crítica pela direção
- Análise crítica pela função de compliance antissuborno
258
129
26/06/2023
ISO 37301
Exemplos:
• Pessoal
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO • Clientes
9.1.1 Generalidades • Terceiras partes
• Parceiros de negócio
• Sem requisitos específicos significativos em relação à ISO 37001, • Órgãos reguladores
cláusula 9.1 • Log e registros de
atividades
9.1.2 Fontes de feedback sobre o desempenho de compliance • Auditorias
• Estabelecer, implementar, avaliar e manter processos para buscar e

receber o feedback sobre o desempenho do compliance.
• Identificar as causas raiz do não compliance, tomar ações, e
considerar na avaliação periódica dos riscos.
259
ISO 37301
Exemplos:
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO • Percentual de treinamento
efetivo
9.1.3 Desenvolvimento de indicadores • Frequência de contato com
reguladores
• Desenvolver, implementar e manter um conjunto apropriado • Uso do canal de denúncia
de indicadores que orientem a organização na avaliação do • Gestão de pendências de não
alcance dos seus objetivos de compliance, para avaliar o seu compliance
desempenho de compliance. • Ganhos e perdas potenciais
260
130
26/06/2023
ISO 37301
Exemplos:
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO • Assuntos a notificar para a
autoridade reguladora;
9.1.4 Relatórios de Compliance • Alterações nas obrigações de
compliance e seu impacto;
• Estabelecer, implementar e manter processos para reportes
• Desempenho do compliance;
de compliance, assegurando:
• Ações corretivas tomadas;
a) critérios apropriados para notificação;
b) tempos para notificações regulares; • Eficácia, alcance e tendências do
Sistema de gestão;
c) um sistema de notificação por exceção está implementado
para facilitar notificações "ad hoc"; • Contato e relacionamento com
regulamentadores;
d) processos e sistemas para assegurar a precisão e
completeza da informação; • Resultados e auditorias e
monitoramento;
e) informação precisa e completa é fornecida de modo a
permitir ações de remediação, corretivas e preventivas,
tomadas em um tempo hábil.
• Relatórios protegidos de modificação
261
ISO 37301
9.2 AUDITORIA INTERNA
262
131
26/06/2023
ISO 37301
9.3 ANÁLISE CRÍTICA PELA DIREÇÃO
9.3.2 Entradas para análise crítica pela Direção
• Análises anteriores; • Mudanças das necessidades das partes

• Mudanças; interessadas;
• Indicadores; • Adequação política de compliance;
• Não-conformidades • Independência função de compliance;
• Medição e monitoramento; • Extensão atendimento objetivos e metas;
• Denúncias; • Adequação dos recursos;
• Auditorias; • Adequação da avaliação dos riscos de
• Investigações; compliance;
• Gestão dos riscos; • Eficácia dos indicadores;
• Eficácia controles; • Levantamento de preocupações e reclamações;
• Melhorias;
263
ISO 37301
10.1 10.2 Não-conformidade e ação corretiva
10.2 10.1 Melhoria contínua
264
132
26/06/2023
ISO 37301
10.1 10.2 NÃO-CONFORMIDADE E AÇÃO

CORRETIVA
• Sem requisitos específicos significativos em relação à ISO

37001
10.2 10.1 MELHORIA CONTÍNUA
• Sem requisitos específicos significativos em relação à ISO

37001
265
ISO 37301
Mudanças e perspectivas – Desafio (TRANSIÇÃO)
Como fica a transição para as empresas? Expectativa (*) :
Empresas certificadas Empresas certificadas

ISO 37001 ISO 19600 (declaração de
(certificado acreditado) conformidade não acreditada)
• Um certificação NOVA conforme ISO 37301 • Um certificação NOVA conforme ISO 37301
• Tempo reduzido de auditoria • Tempo integral de auditoria
• Certificação integrada
(*) a ser definido pelo IAF, Organismos de acreditação e certificação
266
133
26/06/2023
ISO 37301
Mudanças e perspectivas – Desafio (NOVAS NORMAS)
ISO 37002:2021 ISO 37000:2020 ISO/AWI 37008

Whistleblowing Management Governança nas Organizações – Internal Investigations of
System — Guidance Orientações Organizations - Guidance
267
ISO 37301
Mudanças e perspectivas
CONCLUSÕES
• ISO 37301 é uma inovação positiva e muito bem
vinda
• O mercado ainda precisa compreender a diferença

com a ISO 37001 Antissuborno
• As Autoridades podem dispor um mecanismo para

políticas públicas de certificação que evidenciem a
efetividade do Programa de Integridade
268
134
26/06/2023
Etapas principais de
implementação
269
Implementação
11. Implementação dos
1. Definição do escopo 6. Identificação dos riscos controles, procedimentos e
políticas
2. Treinamento dos 7. Análise dos riscos

pontos focais (ISO, 12. Treinamento
significativos (pessoal e parceiros de negócio)
gestão de riscos, controles) (e realização due diligence)
13. Monitoramento e
3. Levantamento
8. Causa (evento) dos riscos coleta de dados e
contexto da organização
desempenho
9. Determinação dos controles 14. Avaliação da

4. Conscientização (e demais procedimentos e
(interna e externa) conformidade e eficácia
políticas do Sistema de Gestão) (auditoria e relatório)
10. Determinação
5. Mapeamento dos 15. Análise crítica pela
monitoramento e eficácia
processos (testes dos controles) direção e órgão diretivo
270
135
26/06/2023
Auditorias de
Sistemas de Gestão
Avaliação da eficácia
Foco ISO 19011
Outras referências
ISO/IEC TS 17021-1
ISO/IEC TS 17021-9
ISO/IEC TS 17021-13
271
Auditoria de Sistemas de Gestão

Reflexão
É necessária
uma visão
holística da
organização
Parábola dos cegos sábios e o elefante
272
136
26/06/2023

Definições
Auditoria
Processo sistemático, documentado e independente para
obter evidências de auditoria e avaliá-las objetivamente,
determinando a extensão na qual os critérios de auditoria
são atendidos.
Evidência objetiva
Dados que apoiam a evidência ou veracidade de alguma
coisa.
Análise Crítica da Documentação

É a comparação da documentação com os requisitos do
sistema de gestão, para determinar sua adequação.
273

Definições
Critérios da auditoria
Conjunto de requisitos usados como uma referência com a
qual a evidência objetiva é comparada
Constatações de auditoria
Resultados de avaliação de evidência de auditoria
coletada, comparada com os critérios da auditoria
Eficácia
Extensão na qual atividades planejadas são executadas e
resultados planejados são alcançados
274
137
26/06/2023

Princípios
Integridade Independência
O fundamento do A base da imparcialidade e
profissionalismo objetividade das conclusões
Apresentação justa Abordagem baseada

Obrigação de reportar com em evidência
veracidade e exatidão Método racional para alcançar
conclusões confiáveis
Cuidado profissional
Aplicação de diligência e
Confidencialidade
julgamento em auditoria Abordagem baseada
Segurança de informação
em risco
Considerando riscos e
oportunidades
275

Fluxograma
Fonte: ABNT NBR ISO 19011:2018
276
138
26/06/2023

Tipos de Auditoria
277

Propósito de um sistema de gestão
SAIR DO EIXO OPERACIONAL

- Descrever o que é atualmente feito
- Fazer o que está previsto de ser feito
- Corrigir desvios à conformidade
ENTRAR NO EIXO GERENCIAL

- Determinar o que deve ser feito
- Análise ininterrupta do cenário
- Melhorar continuamente
278
139
26/06/2023

Visão geral de processo
ANTES (cumpriu?) DEPOIS (capaz de cumprir?)
Requisitos Saídas
• Clientes Processo • Satisfação
RISCOS • Legais
• Conformidade
• Normativos RISCOS
• Incerteza • Bem/serviço
• Legislação
• Uso incorreto
• Humano Entradas Métodos e Resultados
• Falhas mecanismos de
controle
Reavaliação contínua
279

Visão geral de processo
3 FOCOS DA AUDITORIA
ANTES (cumpriu?) DEPOIS (capaz de cumprir?)
• CONFORMIDADE Auditoria é uma
• ADERÊNCIA foto
• EFICÁCIA
Requisitos Saídas
• Clientes Processo • Satisfação
RISCOS • Legais
• Conformidade
• Normativos RISCOS
• Incerteza • Bem/serviço
• Legislação
• Uso incorreto
• Humano Entradas Métodos e Resultados
• Falhas mecanismos de
controle
Reavaliação contínua
280
140
26/06/2023

Programa da Auditoria
O Programa de auditoria deve levar em consideração:
• Critérios e objetivos da auditoria

• Riscos dos processos
• Relevância dos processos para o desempenho do SG
• Os resultados atingidos pelos processos
• Amostragem necessária
• Resultados de auditoria anteriores (internas,
clientes, fiscalizações)
• Mudanças em cenários internos e externos
• Ambiente técnico e regulatório
• A composição da equipe auditora e competência
• Tamanho, natureza e complexidade da organização
• Facilidade de acesso às informações, pessoas e
registros
• Tecnologias envolvidas
281

Objetivos, escopo e critérios da auditoria
• Determinar a conformidade de um sistema de gestão;
• Determinar a eficácia de um sistema de gestão;
• Avaliar a capacidade do Sistema de Gestão em se manter

conforme;
• Verificar se as critérios estabelecidos estão aplicadas e se

são pertinentes;
• Fornecer oportunidade de melhoria;
• Avaliar atendimento a requisitos legais e regulamentares;
• Preparar uma organização para a certificação.
282
141
26/06/2023

Conduzindo a auditoria
Guarde esta frase:
• Ao auditor não compete evidenciar que o

auditado está não-conforme, ao contrário,
compete ao auditado evidenciar que está
conforme
Faça perguntas como:
• Poderia me apresentar uma evidência de que

este requisito foi atendido?
Mas para isto, o

auditor deve ser
competente e
possui um bom
planejamento
283

Programa da
Cliente da Auditado
Auditoria
Auditoria
Constatações
Critérios da Auditoria da Auditoria
Auditoria
Relatório da
Equipe da Auditoria
Auditoria
Especialista
Auditor
284
142
26/06/2023

TÉCNICAS Questões Abertas

Questões iniciadas com
• Não escrever tudo que é dito; - “explique”;
- “na sua avaliação”
• Não escrever ininterruptamente - “qual seria sua reação”;
(1º auditar, 2º anotar);
• Deve-se evitar fazer anotações, Questões fechadas
especialmente quando o entrevistado - dicotômicas: requerem
foi encorajado a falar livremente respostas do tipo “sim/não”;
• Certificar-se que as anotações são - Identificação: “quem”,
legíveis “como”, “quando”
• Usar idéias-chave.
285

• Transparência
• Comunicar os critérios e escopo
• Avaliar viabilidade (guias, recursos etc)
• Plano da auditoria
Reunião de abertura
• Acesso à informação
• Check-list
• Trilha de Auditoria
Avaliação (análise crítica) • Visita a processos e entrevistas
• Coleta evidências x critérios x eficácia
Reunião da equipe de auditoria • Consolidação dos resultados
• Reconfirmar informação da abertura

• Resultados e constatações (NCs)
Reunião de encerramento • Próximos passos
• Confidencialidade
• Registro final com evidências, critérios,

Relatório da auditoria constatações e demais informações
286
143
26/06/2023

PRÁTICAS DE AUDITORIA
• Efetuar visitas às instalações (não somente numa sala)
• Utilizar listas de verificação como base para as entrevistas
• Utilizar técnicas de rastreamento (trilha de auditoria)
• Entrevistar os envolvidos em vários níveis
287

A trilha serve para:

TRILHA DE AUDITORIA
- Validar a aplicação integrada do
Sistema de Gestão;
- Confirmar a mitigação dos riscos

Acompanhando
Acompanhando
um ao longo dos processos
umcontrato
contrato
- Obter uma visão holística do

Sistema de Gestão (gerencial)
Aleatório
Aleatório
Acompanhando
Acompanhando Acompanhando
Acompanhando
um
umprocesso
processode um
umprocesso
processode
frente
de de Dificilmente um grande
frentepara
paratrás
trás trás
tráspara
parafrente
frente
risco é mitigado com um
único controle em um
Vertical único processo
Vertical
288
144
26/06/2023

O que há de errado
com o método de
auditoria?
TRILHA DE AUDITORIA
1. Visita em campo (cliente A): 4. Engenharia:

auditado fornecedor de Auditado planilha de custos
terraplenagem obra D
6. RH:
2. Vendas:
Auditado treinamento
Auditado proposta Cliente B
funcionários obra C
Não foi assegurada a
trilha de auditoria
3. Suprimentos: 5. Compliance:
Auditado processo compras Auditado due diligence
tijolo fornecedor de fundações
4. Controladoria: 4. Jurídico:
Auditado pagamento Auditado contrato com
fornecedor tinta cliente C
289

TRILHA DE AUDITORIA
1. Visita em campo (cliente 4. Engenharia:

A): auditado fornecedor de
Qual seria uma trilha
Auditado planilha de custos
terraplenagem cliente A interessante?
6. RH:
2. Vendas:
Auditado treinamento mestre
Auditado proposta Cliente A
de obras cliente A
3. Suprimentos: 5. Compliance:
Auditado processo compra Auditado due diligence
terraplenagem fornecedor terraplenagem
4. Controladoria: 4. Jurídico:
Auditado pagamento Auditado contrato com
fornecedor terraplenagem cliente A
290
145
26/06/2023

REALIZAÇÃO DA AUDITORIA AVALIAÇÃO DAS EVIDÊNCIAS
ABORDAGEM DA AUDITORIA
1. Me explique o BASEADA EM RISCOS 5. Riscos
processo (NO PROCESSO) identificados?
6. Riscos
2. Me apresente a
coerentes
matriz de risco
(significância)?
7. Controles
3. Me apresente
apropriados
o procedimento
(causa)?
4. Me explique e 8. Controles
evidencie os eficazes (mitigam o
controles risco)?
291
Auditoria de Sistema de Gestão

Plano da auditoria
Aspectos considerados para o Plano de Auditoria:
• Competência da equipe x objetivos e critérios da auditoria

• Métodos de auditoria (online, checklist, presencial, tipo de
entrevista, remoto);
• Papeis e responsabilidades da equipe auditora;
• Representantes dos auditados;
• Idioma;
• Arranjos logísticos;
• Confidencialidade e segurança da informação;
• Guias para os auditores;
• Acompanhamento de auditorias anteriores.
• Métodos de comunicação;
292
146
26/06/2023

Plano da auditoria
Detalhamento suficiente:
• Horários
• Critérios
• Responsáveis
• Processos
• Escopo
293

Relatório da auditoria
Uma conclusão sobre o

O relatório de auditoria deve conter, minimamente:
potencial do Sistema de
Gestão se manter conforme
• Objetivos da auditoria (baseada nas evidências amostrais
• Escopo da auditoria (organização, processos, endereços etc) e na hipótese dos processos
manterem o mesmo desempenho)
• Equipe auditora e participantes
• Datas e locais
• Critérios da auditoria (normas, regulações, códigos etc)
• Constatações (não-conformidades) e evidências
• Conclusões da auditoria (conformidade, eficácia, capacidade)

• Adequação da auditoria aos objetivos
• Divergências a serem resolvidas
• Declaração sobre incerteza da amostragem
294
147
26/06/2023

Constatações devem ser
registradas.
Sobre as constatações de auditoria: O auditado, a priori, não
aprova ou modifica o relatório,
• Devem indicar evidências da conformidade com os critérios; pois a auditoria deve ser
independente.
• Devem indicar oportunidades de melhoria; O auditado pode divergir, e seguir
o direito do contraditório
• Não-conformidades devem vir acompanhadas das respectivas
evidências de não atendimento aos critérios;
• Recomendável graduar não-conformidades. Exemplo:
- NC Maior: afeta a capacidade do Sistema de gestão;
- NC Menor: não afeta a capacidade do SG;
• Somente declarar a NC após completa avaliação (evitar
ruídos de comunicação e desgastes);
• Divergências sobre as constatações sejam resolvidas com o
auditado, ou então, registradas no relatório de auditoria.
295

Constatações devem ser baseadas em fatos

(evidência objetiva)
Fato (evidência objetiva)

A temperatura é de 17°C nesta sala conforme observado
no termômetro calibrado nº 15.
Inferência
O aquecedor não funciona
Opinião
Será que não seria melhor aumentar a temperatura da
sala?
296
148
26/06/2023

Conforme a NBR ISO 19011: EVIDÊNCIA
Evidência objetiva: NUNCA
Dados que apoiam a existência ou a veracidade de “VIDÊNCIA”

alguma coisa
Nota: A evidência objetiva pode ser obtida através de observação, medição,

ensaio ou outros meios.
297

Conforme a NBR ISO 19011:
Não conformidade:
Não atendimento à um requisito.
O Auditor de Sistema de
Gestão não deve procurar NC.
Há perda de independência e
objetividade, tornando-se investigação.
Esta deve ser o resultado de uma trilha
de auditoria
298
149
26/06/2023

O propósito é que um
Conforme a NBR ISO 9000: problema não mais
ocorra, ao menos, pela
Ação corretiva: mesma causa
Ação tomada para eliminar as causas de uma não-

conformidade detectada ou outra situação indesejável
299

Preenchimento de NC conforme ISO 37001 e ISO 37301
Aspecto da NC Detalhamento
AUDITOR
Descrição Evidenciado que o controle financeiro não eficaz
O extrato bancário 1234 registra no dia DD/MM/AAAA o valor de R$ 100.000,00 para

Evidência o fornecedor XYZ LTDA, no entanto, o Pedido de Compra VVVVV e Autorização de
Pagamento mencionam R$ 50.000,00
Requisito Cláusula 8.3 (controles financeiros) da ISO 37001
Impacto Transferência indevida que possibilitaria o pagamento de suborno a cliente via

potencial fornecedor
300
150
26/06/2023

AUDITADO
Interromper os pagamentos de fornecedores acima de R$ 1.000,00 até a conclusão
Controlar
do processo de avaliação.
Corrigir
Providenciar o estorno de R$ 50.000,00 (diferença) junto ao fornecedor.
(Eliminar a NC)
Lidar com as
Adequar os registros contábeis
consequências
NC similar Verificar com Contas a Pagar Matriz e Filial dos últimos 100 pagamentos efetuados a
(extensão, em outros
locais ou processos) fornecedores, acima de R$ 1.000,00.
Causa raiz O fornecedor possui um contrato mensal de R$ 100.000,00, assim, o Assistente Financeiro
(o porquê primário da não atentou para o valor distinto ao programar o pagamento. Falta de um sistema
ocorrência da NC) integrado conectando Compras, Operação e Contas a Pagar.
Ação corretiva
(Eliminar a causa e
Adquirir um sistema integrado conectando Compras, Operação e Contas a Pagar
atuar no processo,
evitando recorrência)
301

AUDITOR
Descrição
Evidenciado que o controle financeiro não eficaz
Evidência O extrato bancário 1234 registra no dia DD/MM/AAAA o valor de R$ 100.000,00 para
o fornecedor XYZ LTDA, no entanto, o Pedido de Compra VVVVV e Autorização de
Pagamento mencionam R$ 50.000,00
Requisito Cláusula 8.3 (controles financeiros) da ISO 37001
Impacto
potencial Transferência indevida que possibilitaria o pagamento de suborno a cliente via
fornecedor
Avaliação Verificados 10 pedidos de compra X aprovações de pagamento X depósitos na conta

eficácia do fornecedor, com valores compatíveis.
302
151
26/06/2023

Competência e avaliação auditores
Para a determinação da COMPETÊNCIA, avalia-se:
• Complexidade do escopo auditado

• Métodos para auditora
• Processos e disciplinas auditados
• Objetivos da auditoria
• Critérios do auditoria
• Tipos de riscos
303

HABILIDADES esperadas incluem, mas não se limitam a: • INDEPENDÊNCIA

• IMPARCIALIDADE
• OBJETIVIDADE
• Integridade • AUSÊNCIA DE CONFLITO
DE INTERESSE
• Maturidade
• Mente aberta
• Ponderação em julgamentos
• Habilidade analítica
• Tenacidade
• Paciência
• Comunicação
• Diplomacia
• Honestidade
• Disciplina
304
152
26/06/2023

Métodos de avaliação de auditores
Fonte: ABNT NBR ISO 19011
305
Fonte: ISO/IEC TS 17021-9 (Traduzido e adaptado)

ISO/IEC TS 17021-1 (traduzido e adaptado)

Competência de Auditores de Sistema de Gestão Antissuborno (terceira parte)
Conhecimento Funções da certificação
Gestor do Revisor do
Equipe auditora
Programa relatório
Geral de auditoria
Conceitos de suborno
Contexto da organização
Leis, regulamentos e outros requisitos
Avaliação de riscos de suborno e due diligence
Controles Antissuborno
10 anos de experiência geral, sendo 03 com

Antissuborno, controles internos ou Compliance
10 dias de auditoria como observador + 10
dias como líder (avaliado)
Curso de 40 horas auditor líder acreditado
(reconhecido pelo OAC)
306
153
26/06/2023
Tendências de uso
da certificação
307
Tendência de uso certificação

ISO 37001
• Cerca de 2.900 empresas certificadas (8.000 instalações)

no mundo (78 países) (Brasil ocupa 4º posição, atrás de Itália,
Indonésia e Korea), representando crescimento de 40% em relação
a 2020 e 330% em relação a 2019 , conforme ISO Survey Report
2022 (dados 2021) (LINK)
• 4 acreditadores internacionais disponíveis (INMETRO, UKAS, ANAB,

ACCREDIA), além e acreditadores privados (Exemplo: PROCERT)
• Novos acordos de Leniência do MPF mencionam a ISO 37001;
• Grandes corporações brasileiras certificaram ISO 37001 (exemplo:
Grupo Odebrecht, BRF, Grupo Queiroz Galvão) além de corporações
mundiais como Pirelli e ENEL.
308
154
26/06/2023
Tendência de uso certificação

ISO 37001
• Já existe o PL 1588/2020, incluindo a Certificação do Programa de

Integridade, e referência à ISO 37001
• O EESC European Economic and Social Committee recomenda a ISO
37001 como uma das ferramentas para combate a corrupção
• Debates com poder público : CGU, TCU, BACEN, MPF, PRG, MF,
BNDES além de OAB e Conselhos
• Relat. Transparência Internacional Brasil “A Look at the Brazilian
Business Sector 2019” menciona a ISO 37001 entre as iniciativas
positivas
• O TCU emitiu “Referencial de Combate à Fraude e Corrupção” 2ª
Edição que traz menção à ISO 37001;
309
Cenário regulatório e a efetividade
Lei Anticorrupção Nova Lei de Licitações

Decreto 8.420/15 (Lei 12.846/13) Lei 14.133/21
Art. 41. Estabelece a obrigação da Art. 25. § 4º. obrigatório Programa de

efetividade do Programa de Integridade Integridade para obras de grande vulto
Art. 42. § 2º. Considera a efetividade do Art. 60. Alínea IV. Em caso de empate,
Programa de Integridade na apuração do um dos critérios é a adoção de Programa
ato lesivo de Integridade
Art. 156. § 1º . Alínea V. Na aplicação de

Poder Público (exemplo: Paraná) sanções, considera-se implantação ou o
Lei PR 19.857/19 (Decreto 2.902/19) aperfeiçoamento de programa de
integridade
Institui o Programa de Integridade e
Compliance da Administração Pública
Estadual
310
155
26/06/2023
Processo de
certificação da
organização e do
auditor
ISO/IEC TS 17021-1 e ISO/IEC TS 17021-9 introdução
311
Processo de Certificação
Vantagens estratégicas
De forma geral, a normatização e acreditação permitem inúmeras vantagens

estratégicas:
➢ Modelo padronizado
➢ Reconhecimento mútuo
➢ Simplificação de controles na cadeia de fornecimento
➢ Avaliação sistemática
➢ Redução falha na compra
➢ Mitigação de riscos
➢ Harmonização de critérios
➢ Redução de custos
➢ Transparência
312
156
26/06/2023

estratégicas:
Uniformização de critérios, sem adoção de
➢ Modelo padronizado modelos próprios, mas um modelo
harmonizado mundialmente (um ÚNICO
➢ Reconhecimento mútuo certificado reconhecido por todos os
agentes)
➢ Avaliação sistemática É possível que autoridades e empresas de

outros países reconheçam os certificados
➢ Redução falha na compra ISO 37001 emitidos no Brasil (sem
controles adicionais)
➢ Harmonização de critérios
➢ Redução de custos Não há a necessidade de avaliação dos

fornecedores pelos contratantes para
➢ Transparência verificar seu sistema de gestão (efetuada
por organismos de certificação)
313

estratégicas: Há garantias de que as empresas são
auditadas pelo menos anualmente, e não
➢ Modelo padronizado somente um fiscalização amostral ou após
denúncias

Critérios claros permitem assertividade na
➢ Avaliação sistemática compra, concorrência justa, e menor risco
de exposição dos contratantes e agentes
➢ Redução falha na compra públicos
➢ Harmonização de critérios Redução de riscos ao longo da cadeia de

decisão, implementação e operação.
➢ Redução de custos Facilidade de reportar os resultados de
maneira clara e objetiva
➢ Transparência
314
157
26/06/2023

estratégicas: Uma única metodologia, harmonizada após
ampla discussão pública no processo de
criação da norma, incorporando as
➢ Modelo padronizado melhores práticas do mercado
➢ Simplificação de controles na cadeia de fornecimento Reduções com: melhor planejamento,

clareza de critérios, diminuição de
➢ Avaliação sistemática retrabalhos, compras mais precisas,
isonomia nas cotações, foco na prevenção
➢ Redução falha na compra etc
➢ Harmonização de critérios Demonstração independente e confiável

(certificação acreditada) da eficácia.
➢ Redução de custos Facilidade da apropriação de
responsabilidades
➢ Transparência
315
Etapas de certificação de terceira parte
Preenchimento Empresa
Questionário
O escopo da certificação da Organização (CNPJ)
deve abranger:
• todos os processos;
• suas atividades fim;
• suas instalações controladas (filiais e CNPJs);
• atividades executadas externamente
(contratos, obras etc);
• pessoal próprio, subcontratados e
fornecedores nos sites;
IMPORTANTE:
O Sistema de Gestão deve
estar completamente
implementado há pelo
menos 3 meses (para que
seja possível avalia a
eficácia)
316
158
26/06/2023
Os tempos de auditoria seguem tabela
internacional (hamonizada) para
Questionário assegurar isonomia nas propostas. A
duração da auditoria (número de
homens/dia) leva em consideração:
• Número de pessoas;
Emissão de Proposta • Amostragem de sites
Certificadora • Complexidade das atividades
Técnico / Comercial
• Nível de risco
Etapa Objetivo Duração Inversiment

(homens/di o (R$)
a)
Estágio 1 Avaliação da estrutura do SG (não eficácia) X,0 XXXXX
Estágio 2 Avaliação da eficácia do SG X,0 XXXXX

Periódicas Avaliação da manutenção da eficácia ao longo X,0 XXXXX
anuais dos últimos 12 meses
Recertificação Reavaliação completa para um novo ciclo X,0 XXXXX
317
Questionário
Emissão de Proposta Certificadora

Agendamento A competência da equipe auditora do

Auditoria e designação OAC atende a ISO 17021-9, incluindo,
Certificadora
equipe auditora por exemplo:
• Norma ISO 37001
• Sistemas de gestão
• Gerenciamento
• Análise de riscos
• Auditorias fiscais
• Controles internos
• Legislação (compliance e anti-
corrupção)
318
159
26/06/2023
TABELA INTERNACIONAL DE DIAS DE AUDITORIA ISO 37001
Fonte: IAF MD 5 – referência Accredia
319
Preenchimento
Empresa
Questionário
Emissão de Proposta
Certificadora
Agendamento Auditoria
e designação equipe Certificadora
auditora
Agenda detalhada com datas, horários,
processos, requisitos das normas a serem
Emissão Plano de auditados
Certificadora
Auditoria
NOTA: antecipadamente podem ser
solicitados alguns documentos (Manual de
Gestão, Análise de Riscos, Organograma
etc) para orientar o planejamento
320
160
26/06/2023
Preenchimento Empresa Realização auditoria Certificadora

Questionário
Emissão de Proposta Certificadora

Agendamento
Auditoria e designação Certificadora
equipe auditora
Emissão Plano de Certificadora

Auditoria
321
Realização auditoria Certificadora
A auditoria é realizada:
O foco da auditoria é:
• 100% AO VIVO (online ou presencial) • Avaliação de cada requisito da norma (não
• Visitas a todos os processos buscar NC, mas sim, evidências que comprovem
a conformidade);
• Entrevistas com gestores
• EFICÁCIA NA GESTÃO DOS RISCOS ao longo
• Entrevistas privadas com força de trabalho dos processos;
(amostral)
• Visita a sites (filiais, contratos etc) (amostral)
• NC Maior (180 dias – auditoria suplementar)
• Avaliação de documentos e registros (amostral) • NC Menor (180 dias para fechar NC, verificada na
Ao final é emitido um relatório com o parecer. próxima auditoria)
• Recomendação (avaliada na próxima auditoria)
322
161
26/06/2023

Questionário
Avaliação
Emissão de Proposta Certficadora independente Comitê Certificadora
Técnico
Agendamento
Auditoria e designação Certificadora Emissão Certificado Certificadora
equipe auditora
Emissão Plano de • Certificado ISO 37001

Certificadora
IMPORTANTE: A certificação ISO 37001 possui validade de 3 anos
Auditoria
não significa que a Organização
não pratica SUBORNO, mas sim, que • Auditorias de manutenção
possui um sistema de gestão para anuais e recertificação
prevenir o suborno em conformidade trienal
com a norma e eficaz.
323

Questionário
Avaliação
Emissão de Proposta Certificadora independente Comitê Certificadora
Técnico
Agendamento
Auditoria e designação Certificadora Emissão Certificado Certificadora
equipe auditora
Emissão Plano de Realização de Certificadora

Certificadora
Auditoria auditorias anuais
A validade do certificado é
condicionada à realização
das auditorias de
manutenção
324
162
26/06/2023
Certificação
Registro de Auditores Certificados
Os auditores que possuem certificados de aprovação como Auditor Líder Antissuborno ISO
37001 com duração de pelo menos 40 horas e acreditação baseada na ISO/IEC 17024
(certificação de pessoas) podem, caso desejem, efetuar registro junto à organismo de registro
de auditores de sistemas de gestão.
Alguns Organismos:
O registro depende do organismo possuir programa de registro para a ISO 37001, da comprovaçã, pelo(a)
auditor(a) das competências requeridas para Auditor Antissuborno na ISO/IEC TS 17021-9, bem como, do
reconhecimento do certificado acreditado, que depende livremente de cada instituição (ainda não há um
MLA – Multilateral Agreement para a ISO 37001, por se tratar de programa recente).
Não existe ainda programa de registro para a ISO 37301.
325
Conclusões e
orientações
preliminares
sobre a prova
326
163
26/06/2023
Conclusões
• Normas técnicas de Sistemas de Gestão como a ISO 37001

e ISO 37301 não representam inovação que
«desconstrói» os modelos de compliance estabelecidos
no mercado, mas se integram com estes, o que permite sua
adoção com facilidade;
• A adoção de uma norma internacional permite racionalizar o

processo de mitigação de riscos;
• A acreditação permite estabelecer um modelo de

conformidade reconhecido por todos os agentes,
aumentando a confiança, reduzindo burocracias;
• A sociedade se beneficia;
327
Orientações preliminares sobre a prova

(Orientações mais detalhadas no dia da prova)
• A prova é realizada para aqueles que optaram e fizeram a contratação

• A prova é enviada por e-mail
• A prova é confidencial, sendo vedada seu envio a terceiros;
• Prazo de correção 15 dias
• A prova e individual, mas pode ser executada com consulta aos
documentos fornecidos
• O aluno deve permanecer online durante a prova final (câmeras e áudio
podem ficar desligados) – a prova é gravada.
• Para os reprovados na prova final (ou que não realizaram a prova
final na data determinada, desde que justificado por escrito previamente), é
possível realizar uma prova substitutiva, caso tenha optado por sua
contratação
Nota mínima: O critério para aprovação é a pontuação mínima de 70%
328
164
26/06/2023
Critérios de aprovação
Seções da prova e duração:
TODAS as questões são alternativas (múltipla escolha),
com uma única resposta correta
Em caso de aprovação,
o aluno recebe um
a) Total de 100 pontos possíveis, sendo: certificado de aprovação
- Seção 1: questões analíticas (33 pontos) acreditado
- Seção 2: questões interpretativas (18 pontos);
- Seção 3: questões de desenvolvimento (risco) (21 pontos);
- Seção 4: questões diretas (28 pontos); Em caso de reprovação,
o aluno recebe um
certificado de
b) Duração de 3,5 horas, sendo: participação sem
- 30 minutos para leitura da prova e orientações pelo instrutor; acreditação
- 180 minutos realização e entrega da prova;
329
Prova
330
165
26/06/2023
Orientações prévias sobre a prova
• A prova é realizada para aqueles que optaram e fizeram a

contratação
• A prova final tem 3,5 horas de duração impreterivelmente
(incluindo a explicação);
• Não é permitida a entrega da prova final após o término do
prazo. Em ambos os casos, o aluno é reprovado.
• A prova deve ser enviada para o e-mail
comercial@tradius.com.br até o prazo supra (em formato
PDF), com título e nome completo. Lembre-se: o e-mail é a
evidência que a prova foi entregue pelo candidato.
• O arquivo da prova não deve ser alterado (formatação das
fontes, texto, conteúdo, formulário). Pede-se ainda, respeitar o
espaço concedido no formulário para as respostas.
331
Orientações prévias sobre a prova

• Informar no grupo de WhatsApp que enviou o e-mail com a
prova (para o instrutor confirmar o recebimento). Somente após, sair
da sala.
• A prova é confidencial, sendo vedada seu envio a terceiros;
• Prazo de correção 15 dias (enviada por e-mail junto com o
certificado). Pode deixar o Grupo de WhatsApp após a entrega.
• Pode existir mais de uma versão da prova, a critério da TRADIUS;
• A prova pode ser executada com consulta, restrita aos
documentos técnicos fornecidos (Apostila de slides, normas
técnicas e outros) e anotações pessoais.
• O aluno deve permanecer online durante toda a prova final
(câmeras e áudio podem ficar desligados).
• É vedada toda comunicação entre os alunos ou terceiros sobre
a prova, e mesmo após entrega ao instrutor.;
• Todas as questões da prova devem ser respondidas;
332
166
26/06/2023
Critérios de aprovação
Seções da prova e duração:
TODAS as questões são alternativas (múltipla escolha), com
uma única resposta correta Em caso de aprovação,
o aluno recebe um
a) Total de 100 pontos possíveis, sendo: certificado de aprovação
- Seção 1: questões analíticas (33 pontos) acreditado
- Seção 2: questões interpretativas (18 pontos);
- Seção 3: questões de desenvolvimento (21 pontos);
- Seção 4: questões diretas (28 pontos); Em caso de reprovação,
o aluno recebe um
certificado de
b) Duração de 3,5 horas, sendo: participação sem
- 30 minutos para leitura da prova e orientações pelo instrutor; acreditação
- 180 minutos realização e entrega da prova;
Nota mínima
• O critério para aprovação é a pontuação mínima de 70%
333
Prova substitutiva (conforme contratado)
• Para os reprovados na prova final (ou que não realizaram a prova final
na data determinada, desde que justificado por escrito previamente), é
possível realizar uma prova substitutiva, caso tenha optado por sua
contratação
• A prova substitutiva é realizada até 30 (trinta) dias após a prova final,
em data e horário informados com antecedência pela TRADIUS (uma
única data disponível para cada turma)
• A não realização no prazo ou reprovação na prova substitutiva resulta
em aluno definitivamente reprovado.
• As demais orientações e critérios para a prova substitutiva são os
mesmos dos slides anteriores (prova final)
334
167
26/06/2023
Fim do curso
Sucesso!
335
Obrigado
TRADIUS Treinamento e Desenvolvimento

São Paulo – SP
Whatsapp 11 95157-6545
@tradiusbrasil
@tradiusbrasil
E-mail: comercial@tradius.com.br
Web: www.tradius.com.br
336
168

APOSTILA Curso TRADIUS TRD-AUD-0026 - Líder 37k - Rev Mai-2023

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

APOSTILA Curso TRADIUS TRD-AUD-0026 - Líder 37k - Rev Mai-2023

Enviado por

Direitos autorais:

Formatos disponíveis

26/06/2023

A TRADIUS dá as boas vindas a todos os participantes e

Que este período juntos possa proporcionar momentos

Jefferson Carvalho Sócio-diretor

Acreditamos que as ISO 37001 e ISO 37301

ACREDITAMOS EM CONHECIMENTO QUE TRANSFORMA

O mercado está cansado de serviços de O time TRADIUS é formado por

Estamos falando de PRAGMATISMO. Estamos

SERVIÇOS DE ALTO VALOR

Serviços de ESG (Ambiental, Social e Governança)

Normas técnicas (ISO 37001, 37301, 22301,

GRC (Governança, Riscos e Compliance)

AUDITORIA Sustentabilidade e Responsabilidade Social

TREINAMENTOS E CERTIFICAÇÕES ACREDITADOS

Em particular, somos a primeira certificadora

FAZEM PARTE DE NOSSA HISTÓRIA*

NOSSO CEO (E COORDENADOR TÉCNICO)

PUBLICAÇÕES E ARTIGOS Jefferson Carvalho

A TRADIUS possui acreditação emitida pela PROCERT para realização de

A PROCERT é um organismo independente de avaliação da conformidade

Isto significa que a TRADIUS é periodicamente avaliada quanto aos

Durante o treinamento, o acreditador pode eventualmente

Formar profissionais como Implementador e Auditor Líder de Sistemas de Gestão

• Interpretação e implementação da ISO 37001 – Antissuborno e ISO 37301 - Compliance;

• Abordagem o Compliance e Antissuborno sob a ótica de sistemas de gestão;

Orientações principais do Manual do Aluno:

• As normas fornecidas possuem direitos autorias;

Orientações principais da Especificação Técnica:

• AVALIAÇÃO FINAL (para certificação – conforme contratado):

• Prazo estimado de correção 15 dias (prova corrigida enviada)

- Horário das aulas: 18h30 as 22h00 (horário de Brasília) – 20 minutos intervalo

- Prova final para certificação acreditada (opcional): 17 de julho de 2023 as 18:30h

- Prova substitutiva (opcional): 31 de julho de 2023 às 18:30h

O desenvolvimento passa por

Produção das normas técnicas (WD) Minuta de Trabalho

A implementação O Comitê ISO A implementação

O modelo de sistemas de Compliance e

Organization for Economic Co-operation and As certificações ISO 37001 e

Há uma corrente de mercado debatendo Ver bibliografia na

Bribery Act (2010)

ISO 37301:2021 – Sistema de Gestão de Compliance

Prevenção aos riscos de corrupção

ISO 37001:2016 – Sistema de Gestão Antissuborno

Prevenção aos riscos de suborno

Confiança não é saber A falta de confiança

É não precisar saber

Qualquer organização, pública ou

Um Código de Ética e uma COMUNICADO

Capacidade das políticas,

Documentação das políticas,

O pessoal foi treinado

Ainda não é possível

Mas afinal, quem certificou?

Ela precisa estar conforme para certificar

A empresa que certifica não

Atores do processo Organizações

Atores do processo Organizações

Quem pode certificar?

Principais normas relacionadas a risco

Confiança na certificação (acreditação)

O que distingue uma empresa independente (exemplo: consultoria,

A acreditação é uma ferramenta estabelecida em escala

Acreditação Em função da gravidade de

OAC Acreditado (Certificadora)