Escolar Documentos
Profissional Documentos
Cultura Documentos
TREINAMENTO ACREDITADO
Implementador e
Auditor Líder de
Sistemas de Gestão
Antissuborno e
Compliance ISO 37001
e ISO 37301
• TRD-AUD-0026
• 24 junho a 17 julho 2023
• Online (ao vivo - videoconferência)
Tradius Treinamento e Desenvolvimento
www.tradius.com.br comercial@tradius.com.br
Todos os direitos reservados
Revisão 17 de Mai/2023
Apresentação
Objetivos
Regras
1
26/06/2023
Boas vindas
Sucesso!
Reflexão
2
26/06/2023
CONHEÇA A TRADIUS
Tradius Brasil
www.tradius.com.br comercial@tradius.com.br
Todos os direitos reservados
3
26/06/2023
Governança Corporativa
CONSULTORIA
Certificações empresariais (selos)
Governança e confiança
A TRADIUS possui acreditação para a realização de
treinamentos e para certificações empresariais.
Isto significa que somos avaliados periodicamente
por organismo independente, com base em normas
técnicas internacionais
4
26/06/2023
* Amostragem de clientes
10
5
26/06/2023
A lista completa de artigos e publicações pode ser encontrada nas redes sociais
11
Parceiras e acreditação
12
6
26/06/2023
Objetivos do Treinamento
13
Regras do treinamento
14
7
26/06/2023
Regras do treinamento
• CERTIFICADO
- Aprovação (com acreditação)
- Participação (sem acreditação) para reprovados
15
Programa (agenda)
Datas e horários (website do curso):
- 11 módulos + prova
- Calendário: 26, 27, 28, 29 de junho, 03, 04, 05, 06, 10, 11 e 12 de julho 2023
16
8
26/06/2023
Programa (agenda)
17
Programa (agenda)
18
9
26/06/2023
Introdução sobre
normatização e
integração com
compliance
19
20
10
26/06/2023
Divisão Corrupção
https://www.unodc.org/lpo-
brazil/pt/corrupcao/index.html
Programa de
Lei No. 12.846 (2013) Anti-corrupção
Integridade
Decreto No. 11.129 (2022)
pressupõe um
SISTEMA DE
Organization for Economic Co-operation and
GESTÃO
Development (Exemplo de tratado assinado)
Capítulo V
https://www.oecd.org “Conjunto de mecanismos e procedimentos
(PROGRAMA DE
INTEGRIDADE) internos de integridade, auditoria e
incentivo à denúncia de irregularidades e na
aplicação efetiva de códigos de ética e de
conduta, políticas e diretrizes, com objetivo
FCPA - Foreign Corrupt Practices Act (1977) de:
https://www.justice.gov/criminal-fraud/foreign-corrupt-practices- I – prevenir, detectar e sanar desvios,
act fraudes, irregularidades e atos ilícitos
praticados contra a administração pública,
nacional ou estrangeira
Bribery Act (2010) II - fomentar e manter uma cultura de
http://www.legislation.gov.uk/ukpga/2010/23/contents
integridade no ambiente organizacional”
21
Cadeia de requisitos
Divisão Corrupção
https://www.unodc.org/lpo-
brazil/pt/corrupcao/index.html Lei No. 12846 (2013) Anti-corrupção
Decreto No. 11.129 (2022)
11
26/06/2023
A base de TODOS é um
PROGRAMA DE
COMPLIANCE. O que se
Estrutura mecanismos altera é o escopo dos
riscos controlados
Programa de Compliance
Princípios e práticas gerais
Qualquer obrigação
ÉTICA
Prevenção aos riscos de não atendimento requisitos
Programa de Integridade
Fonte: CGU (www.cgu.gov.br)
23
As normas seguem a
estrutura HLS (High
Level Structure da
Escopo das normas ISO) – mesma
estrutura da ISO 9001
e ISO14001
ISO 37301
Sistema de Gestão de COMPLIANCE - Requisitos
ISO 37301 substitui a
Gestão e controle sobre RISCOS relativos à todas as ISO 19600 (cancelada)
OBRIGAÇÕES (compulsórias e voluntárias), em todas as
dimensões do COMPLIANCE: ISO 37001 e ISO 37301
Ambas normas
• Fiscal e Tributário ISO 37001 certificáveis (requisitos),
• Ambiental Sistema de Gestão ANTISSUBORNO -
Requisitos
passível inclusive de
• Contratual
• Saúde e Segurança acreditação
• Relações comerciais Gestão e controle sobre RISCOS relativos
• Trabalhista ao SUBORNO
• Controladoria
• ANTISSUBORNOApesar de abranger uma única dimensão
• Etc do compliance, TODOS os processos
devem ser mapeados
O escopo da certificação PODE
abranger outros aspectos de anti-
corrupção (lavagem de dinheiro,
Obviamente, um maior nível de
conflito de interesse, dumping,
compliance geral contribui para a eficácia
cartel)
do sistema de gestão Antissuborno
24
12
26/06/2023
Contextualização
sobre
certificações e
valor agregado
25
Contextualização
Quando o vento da
mudanças sopra,
enquanto uns constroem
abrigos, outros constroem
moinhos
Érico Veríssimo
26
13
26/06/2023
Contextualização
27
Um pouco de pragmatismo
Cumprir
Gerar
Prevenir OBRIGAÇÕES
RESULTADOS
RISCOS
28
14
26/06/2023
Um pouco de pragmatismo
É preciso se
proteger deles!
Neste sentido, a
EFETIVIDADE do
Programa de
Integridade é
fundamental
29
ISO 37001
Importância da EFETIVIDADE
30
15
26/06/2023
ISO 37001
Importância da EFETIVIDADE
Houve redução
Capacidade das políticas, O controle foi efetivo (mitigação) na
procedimentos e controles de (eficaz)? possibilidade de
mitigar os riscos
3. EFICÁCIA superfaturamento?
Os controle
Gestão dos riscos
(Exemplo: três
Documentação das políticas, (Exemplo: risco de
cotações) foi
procedimentos e controles 1. ESTRUTURAÇÃO superfaturamento)
implementado?
para a prevenção ao suborno
31
Contextualização
Onde há:
- Dinheiro
- Poder
- Pessoas
O DESAFIO hoje é criar um
ambiente que iniba ao máximo a
Há corrupção corrupção, onde o potencial dano
não afete o desempenho da
organização
32
16
26/06/2023
33
Sociedade,
Órgãos de
Controle, Mídia
Clientes (COLABORAR,
Forum
Internacional de
(UTILIZAR, MONITORAR)
Acreditadores
CONFIAR)
(IAF)
(TRANSNACIONA
LIDADE)
Organismo de
Avaliação da
Organismo Conformidade
(CERTIFICAR)
Acreditador
(CREDIBILI
DADE)
34
17
26/06/2023
35
Norma Internacional
ISO 22301 Sistema de Gestão de Continuidade Sim Sim
de Negócios
ISO 26000 Responsabilidade Social Não Não
ISO 31000 Gestão de Riscos Não Não
ISO 37000 Governança nas Organizações Não Não
ISO 37001 Sistema de Gestão Antissuborno Sim Sim
ISO 37301 Sistema de Gestão de Compliance Sim A definir
Norma Brasileira
NBR 16001 Sistema de Gestão de Sim Sim
Responsabilidade Social
Especificação
Selo Pró-Ética Programa de Integridade Não Não
Selo Infra+ Integridade Programa de Integridade Não Não
36
18
26/06/2023
Credibilidade das
certificações:
Acreditação
37
ACREDITAÇÃO
https://www4.inmetro.gov.br/acreditacao/cgcre
38
19
26/06/2023
Acreditação
O Organismo de Acreditação avalia a Certificadora
(OAC):
O processo de acreditação ocorre em 3
níveis para confirmar a competência do
• Sistema de Gestão da OAC (norma ISO/IEC 17021):
Qualidade
1.Análise documental (procedimentos)
• Competência Técnica
2.Avaliação no Escritório do OAC
• Estrutura Operacional
3.Auditoria Testemunha (em campo)
• Mecanismos de
Independência, Anualmente são realizadas reavaliações
Imparcialidade, Objetividade e
Ausência de Conflito de
interesse das decisões
• Mecanismos de
confidencialidade
39
Certificação Certificação
Inspeção Calibração e Ensaio
de Sistemas Gestão de Produtos
(ISO 37001)
40
20
26/06/2023
Acreditação
41
ISO 37301
Confiança na certificação (acreditação)
42
21
26/06/2023
Acreditação
A palavra é RACIONALIZAÇÃO na Percepção da Mitigação do RISCO:
PARTE
INTERESSADA
Estruturação?
Implementação?
Efetividade?
Redução do custo
transacional de
controle
ORGANIZAÇÃO
43
Acreditação
A palavra é RACIONALIZAÇÃO da Gestão dos Riscos:
A certificação permite
uma linguagem única a
todas partes, traduzida
em
CONFIANÇA e
VELOCIDADE NAS
DECISÕES
44
22
26/06/2023
Atividade em Grupo
Grupos de trabalho
3 Grupos aleatórios criados
automaticamente no Zoom
45
Atividade em Grupo
Orientações:
46
23
26/06/2023
Regulação
Anticorrupção
Lei 12.846/13
Decreto 11.129/22
NOTA: o propósito não é um curso sobre a
regulação anticorrupção, mas sim,
demonstrar sua compatibilidade com os
princípios contidos nas normas ISO 37001 e
ISO 37301, utilizando a referência da Lei
aplicável ao setor privado (mas com mesmo
paralelo para o setor público
47
Regulação Anticorrupção
EFEITOS DA CORRUPÇÃO: a Corrupção aumenta a desigualdade social, emperra o
desenvolvimento econômico, abala o princípio da concorrência justa, incentiva a má
governança e provoca a corrosão moral da sociedade.
CORRUPÇÃO = M + D – A
ONDE, M= grau de monopólio; D= poder discricionário e A= mecanismos de controle.
48
24
26/06/2023
Regulação Anticorrupção
• A responsabilidade sobre a cadeia produtiva é cada mais necessária porque se não tiver
condições de fazer essa gestão prevenindo e mitigando riscos, avaliando as
situações críticas, a empresa pode ser responsabilizada, seja via, Ministério Público
ou órgãos de controles externos e até mesmo internos no âmbito da Adm, Pública,
conforme prevê o art. 2º, do Decreto 11.129/22.
49
ISO 37301
Relação com o Programa de Integridade
ATOS ILÍCITOS. Art. 5o da Lei 12.846/2013
25
26/06/2023
Regulação Anticorrupção
Em outras
❖ Parágrafo Único. O programa de integridade deve ser estruturado, aplicado e palavras:
atualizado de acordo com as características e riscos atuais das atividades de cada SISTEMA
DE GESTÃO
pessoa jurídica, a qual por sua vez deve garantir o constante aprimoramento e
adaptação do referido programa, visando garantir sua efetividade.
51
Regulação Anticorrupção
Pilares Programa de Integridade X ISO 37001
Fonte: E-book “Programas de Integridade em Compras Públicas – Certificações ISO 37001 e Contribuição à Efetividade – J. CARVALHO, C.
CARNEIRO, 2020. NOTA: o e-book foi emitido quando o decreto 8.420/15 estava em vigor e será atualizado quanto ao novo Decreto 11.129/22
52
26
26/06/2023
Regulação Anticorrupção
Pilares Programa de Integridade X ISO 37001
Fonte: E-book “Programas de Integridade em Compras Públicas – Certificações ISO 37001 e Contribuição à Efetividade – J. CARVALHO, C.
CARNEIRO, 2020. NOTA: o e-book foi emitido quando o decreto 8.420/15 estava em vigor e será atualizado quanto ao novo Decreto 11.129/22
53
Regulação Anticorrupção
Pilares Programa de Integridade X ISO 37001
Fonte: E-book “Programas de Integridade em Compras Públicas – Certificações ISO 37001 e Contribuição à Efetividade – J. CARVALHO, C.
CARNEIRO, 2020. NOTA: o e-book foi emitido quando o decreto 8.420/15 estava em vigor e será atualizado quanto ao novo Decreto 11.129/22
54
27
26/06/2023
Regulação Anticorrupção
Pilares Programa de Integridade X ISO 37001
Fonte: E-book “Programas de Integridade em Compras Públicas – Certificações ISO 37001 e Contribuição à Efetividade – J. CARVALHO, C.
CARNEIRO, 2020. NOTA: o e-book foi emitido quando o decreto 8.420/15 estava em vigor e será atualizado quanto ao novo Decreto 11.129/22
55
Regulação Anticorrupção
Pilares Programa de Integridade X ISO 37001
Fonte: E-book “Programas de Integridade em Compras Públicas – Certificações ISO 37001 e Contribuição à Efetividade – J. CARVALHO, C.
CARNEIRO, 2020. NOTA: o e-book foi emitido quando o decreto 8.420/15 estava em vigor e será atualizado quanto ao novo Decreto 11.129/22
56
28
26/06/2023
Regulação Anticorrupção
Pilares Programa de Integridade X ISO 37001
Fonte: E-book “Programas de Integridade em Compras Públicas – Certificações ISO 37001 e Contribuição à Efetividade – J. CARVALHO, C.
CARNEIRO, 2020. NOTA: o e-book foi emitido quando o decreto 8.420/15 estava em vigor e será atualizado quanto ao novo Decreto 11.129/22
57
Regulação Anticorrupção
Legislações estaduais que requerem programa de Integridade
Fonte: E-book “Programas de Integridade em Compras Públicas – Certificações ISO 37001 e Contribuição à Efetividade – J. CARVALHO, C.
CARNEIRO, 2020.
58
29
26/06/2023
CGU
Programa de Integridade
Efetivo X Redução Multa
em PAR
(Valor da boa gestão em GRC)
59
Regulação Anticorrupção
60
30
26/06/2023
Regulação Anticorrupção
Valor do Programa de Integridade efetivo
Fonte: https://repositorio.cgu.gov.br/bitstream/1/46645/1/Manual_pratico_integridade_PAR.pdf
61
Regulação Anticorrupção
Valor do Programa de Integridade efetivo
Blocos de Avaliação
COI – Cultura MPI – Mecanismos, APJ – Atuação da
organizacional de Políticas e procedimentos Pessoa Jurídica em
Integridade de Integridade Relação ao Ato Leviso
Pontuação máxima Pontuação máxima 1,5% Pontuação máxima
1,8% 1,3%
Percentual de redução = [ (COI x MPI) + APJ ]
62
31
26/06/2023
Programa de
Integridade
Regulação Anticorrupção EFETIVO é uma
Valor do Programa de Integridade efetivo APÓLICE DE
SEGURO
63
Introdução à
Governança
Corporativa e
Controles Internos
NOTA: o propósito não é um curso sobre
governança, mas sim, demonstrar que está
interrelacionadas com os princípios das
normas ISO 37001 e ISSO 37301, as quais
cobrem aspectos essenciais de governança
para os Sistemas de Gestão
64
32
26/06/2023
Governança
Contexto preliminar
Válido também para governança pública
PARTES
INTERESSA
DAS
TRANSPARÊNCIA
ACCOUNTABILITY
65
Governança Corporativa
Índice de Percepção da Corrupção
O Brasil tem um
desempenho ruim na
PERCEPÇÃO de
combate à corrupção
Ranking 94 de 180
Isto afeta
investimentos
Fonte: Relatório do índice de Percepção da Corrupção (IPC) – Transparency International – 2023 (dados 2022) (LINK)
66
33
26/06/2023
Indicadores de corrupção
CCC - Índice de Capacidade de Combate à Corrupção
Fonte: Control Risk: The Capacity to Combat Corruption (CCC) Index Report 2022- LINK
67
Indicadores de corrupção
CCC - Índice de Capacidade de Combate à Corrupção
Só um conjunto de
controles precisos
espalhados ao
longo dos processos
pode diluir a
energia do risco
Fonte: Control Risk: The Capacity to Combat Corruption (CCC) Index Report 2021 - LINK
68
34
26/06/2023
Requisitos:
69
Jun/2001 a Out/2022
70
35
26/06/2023
Governança Corporativa
71
Governança Corporativa
72
36
26/06/2023
Governança Corporativa
Relação com Gestão
73
Governança Corporativa
Interesses da própria
Interesses dos sócios Interesses dos gestores empresa
Evitar o
CONFLITO DE
INTERESSE
74
37
26/06/2023
A 2ª linha de defesa
Modelo refere-se ao
Três linhas de defesa para gestão de riscos
monitoramento pelos
gestores (cumprimento
das regras e controles)
Todo controle deve
ser aplicado na 1ª
linha de defesa (na
atividade)
Todas as ações
são definidas
para GERIR OS
RISCOS
Fonte: Instituto de Auditores Internos - 2020 (LINK)
75
Governança Corporativa
COSO
76
38
26/06/2023
77
78
39
26/06/2023
COSO ERM
Integrated Framework
Breve histórico
A versão mais atual de 2017 COSO ERM 2017 versão do COSO ERM (Enterprise Risk management -
Integrated Framework) integra a gestão de riscos com a estratégia, permeando a organização em 5
componentes e 20 objetivos
79
Aspectos relevantes
interpretação e
implantação
ISO 37001
Sistema de Gestão Antissuborno
80
40
26/06/2023
4 – Contexto da Organização
5 - Liderança
6 - Planejamento
7 – Apoio
8 – Operação
9 – Avaliação do desempenho
10 - Melhoria
81
Contexto 4 3
Estrutura Requisitos organizacional Escopo do Práticas de
PROGRAMA governança
Requisitos das 2
partes
interessadas Modelo do
5
Sistema de
Gestão
Política do 6
PROGRAMA e
objetivos
7
Identificação
de obrigações
Avaliar Implementar
11 10 9
Avaliação Controles
Canal de
desempenho internos e
Denúncia e
e Auditoria procedimento
Investigação
Interna s
82
41
26/06/2023
ISO 37001
Cláusula 1 – Escopo
83
ISO 37001
Cláusula 1 – Escopo
84
42
26/06/2023
ISO 37001
Cláusula 3 – Termos e definições
Suborno
Oferta, promessa, doação, aceitação ou solicitação de uma vantagem
indevida de qualquer valor (que pode ser financeiro ou não financeiro),
direta ou indiretamente, e independente de localização(ões), em violação às
leis aplicáveis, como um incentivo ou recompensa para uma pessoa que
está agindo ou deixando de agir em relação ao desempenho das suas
obrigações.
Orgão diretivo
Grupo ou orgão que tem a responsabilidade e autoridade finais pelas
atividades, governança e políticas de uma organização e ao qual a alta direção
se reporta e perante o qual a alta direção é considerada responsável.
85
Governança X Compliance
86
43
26/06/2023
ISO 37001
Cláusula 3 – Termos e definições
É fundamental conhecer a
CAUSA (incerteza), ou seja,
Função de compliance antissuborno
o mecanismo pelo qual um
Pessoa (s) com responsabilidade e autoridade para a operação
ilícito ocorre, do contrário, o
do sistema de gestão antissuborno.
controle é empírico, e não
metodológico
Risco
Efeito da incerteza sobre os objetivos. Incerteza é o estado,
ainda que parcial, de deficiência de informação relacionada a
um evento, sua consequência ou probabilidade ou deficiência Exemplos
de compreensão ou conhecimento de um evento, sua • Contabilidade
consequência ou probabilidade. • Jurídico
• Tecnologia da Informação
Terceirizar (verbo) • Representantes
Fazer um arranjo onde uma organização externa
desempenha parte de uma função ou processo de uma Não precisam certificar, mas:
organização. Nota : Uma organização externa está fora do
- Riscos devem ser identificados
escopo do sistema de gestão, apesar de a função ou processo
- Controles devem ser definidos
terceirizado estar dentro do escopo.
(exemplo: em ata ou contrato)
- Eficácia avaliada
87
ISO 37001
Cláusula 3 – Termos e definições
Parceiro de negócio
Parte externa com a qual a organização têm, ou planeja estabelecer, alguma
forma de relacionamento de negócio. NOTA: Parceiro de negócio inclui mas
não está limitado a:
Clientes;
joint ventures;
parceiros de joint ventures;
parceiros de consórcio;
provedores de terceirização;
Contratantes;
Consultores;
Subcontratados;
Fornecedores;
Conselheiros;
Agentes;
Distribuidores;
Representantes;
Intermediários;
investidores.
88
44
26/06/2023
ISO 37001
Cláusula 3 – Termos e definições
Due diligence
Processo para aprofundar a avaliação da natureza e extensão dos riscos
de suborno e ajudar as organizações a tomar decisões em relação a
transações, projetos, atividades, parceiros de negócio e pessoal específicos.
89
Parceiro de negócio
DUE DILIGENCE
(CONHECER OS RISCOS)
Clientes Contratante Conselheiro
90
45
26/06/2023
ISO 37001
Cláusula 4 – Contexto da Organização
91
ISO 37001
Cláusula 4 – Contexto da Organização
Exemplos
• Número de funcionários
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Número de clientes
• Organograma
• Mapear questões internas e externas críticas que afetem o
SGAS; • Mapeamento dos processos
• Tamanho, estrutura, autoridades; • Alçadas
• Autorizações
• Localizações e setores onde opera;
• Autoridades em procedimentos
• Natureza, escala e complexidades;
• Mapa societário (controlados e
• modelo de negócio controladores até o final da cadeia,
• controladas e controladoras; CNPF, CPF, quotas etc)
• parceiros de negócio
• natureza e extensão das Interações com agentes públicos
• Obrigações e deveres;
Importante emitir uma lista
ou matriz referencial, e não
um texto descritivo
92
46
26/06/2023
ISO 37001
Cláusula 4 – Contexto da Organização
93
ISO 37001
Cláusula 4 – Contexto da Organização
94
47
26/06/2023
ISO 37001
Cláusula 4 – Contexto da Organização
Exemplos
• Sede
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Filiais (mesmo vazias)
• Escritórios
• Mapear questões internas e externas críticas que afetem o
SGAS; • Fábricas
• Contratos
• Tamanho, estrutura, autoridades;
• Tipos de clientes
• Localizações e setores onde opera;
• Setores da economia
• Natureza, escala e complexidades;
• modelo de negócio
• controladas e controladoras;
• parceiros de negócio
• natureza e extensão das Interações com agentes públicos
• Obrigações e deveres;
95
ISO 37001
Cláusula 4 – Contexto da Organização
Exemplos
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Modus operandi
• Volumes de faturamento
• Mapear questões internas e externas críticas que afetem o
• Número de clientes
SGAS;
• Nível de regulação
• Tamanho, estrutura, autoridades;
• Desempenho econômico
• Localizações e setores onde opera;
• Aspectos críticos operacionais
• Natureza, escala e complexidades;
• modelo de negócio
• controladas e controladoras;
• parceiros de negócio
• natureza e extensão das Interações com agentes públicos
• Obrigações e deveres;
96
48
26/06/2023
ISO 37001
Cláusula 4 – Contexto da Organização
97
ISO 37001
Cláusula 4 – Contexto da Organização
98
49
26/06/2023
ISO 37001
Cláusula 4 – Contexto da Organização
99
ISO 37001
Cláusula 4 – Contexto da Organização
Exemplos
• Mapeamento de todos os
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO
relacionamentos com agentes
públicos :
• Mapear questões internas e externas críticas que afetem o
SGAS; - órgão
• Tamanho, estrutura, autoridades; - objeto do relacionamento;
- metodologia de comunicação
• Localizações e setores onde opera;
- interlocutor do agente e nível
• Natureza, escala e complexidades;
- interlocutor interno
• modelo de negócio
• controladas e controladoras;
• parceiros de negócio
• natureza e extensão das Interações com agentes públicos
• Obrigações e deveres;
100
50
26/06/2023
ISO 37001
Cláusula 4 – Contexto da Organização
Exemplos
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Listagem de obrigações de
compliance e antissuborno em:
• Mapear questões internas e externas críticas que afetem o
- legislações
SGAS;
- contratos
• Tamanho, estrutura, autoridades;
- acordos
• Localizações e setores onde opera;
- decisões judiciais
• Natureza, escala e complexidades; - condicionantes
• modelo de negócio - etc
• controladas e controladoras;
• parceiros de negócio IMPORTANTE: obrigação é somente
• natureza e extensão das Interações com agentes públicos a demanda objetiva (uma obrigação
pode ser um único artigo dentro de
• Obrigações e deveres; toda uma lei)
101
ISO 37001
Cláusula 4 – Contexto da Organização
Exemplos
• Clientes (cláusulas contratuais)
• Órgãos reguladores (condicionantes)
• Associações (códigos de ética setoriais)
102
51
26/06/2023
ISO 37001
Cláusula 4 – Contexto da Organização
103
ISO 37001
Cláusula 4 – Contexto da Organização
104
52
26/06/2023
ISO 37001
Cláusula 4 – Contexto da Organização
105
ISO 37001
Cláusula 4 – Contexto da Organização
106
53
26/06/2023
ISO 37001
Cláusula 5 – Liderança
107
ISO 37001
Cláusula 5 – Liderança
108
54
26/06/2023
Governança X Compliance
109
Órgão diretivo
Diretores
110
55
26/06/2023
ISO 37001
Cláusula 5 – Liderança
111
ISO 37001
Cláusula 5 – Liderança
112
56
26/06/2023
ISO 37001
Cláusula 5 – Liderança
113
ISO 37001
Cláusula 5 – Liderança
Onde há hierarquia há
dificuldade de exercer a
independência
necessária
114
57
26/06/2023
ISO 37001
Cláusula 5 – Liderança
Exemplos:
5.3.3 Tomada de decisão delegada: • Alçadas de aprovação;
• Procurações;
• Estabelecer e manter um processo de tomada de
decisão ou um conjunto de controles que requeira • Parametrização de usuários;
que o processo de decisão e o nível de autoridade • Delegações financeiras em
do(s) tomador(es) da decisão sejam apropriados e procedimentos
livres de conflitos de interesse reais ou potenciais. • Delegações operacionais em
procedimentos
• Analisar periodicamente tais processos
115
Atividade em Grupo
• Documento com:
- política antissuborno pesquisada,
- comentários sobre política pesquisadas
Orientações
• Formulário
• Elaborar em 20 minutos
• Enviar via WhatsApp do Grupo
• Duração 5 minutos
• Todos no Grupo devem falar
116
58
26/06/2023
ISO 37001
Cláusula 6 – Planejamento
117
ISO 37001
Cláusula 6 – Planejamento
118
59
26/06/2023
ISO 37001
Cláusula 6 – Planejamento
119
ISO 37001
Cláusula 6 – Planejamento
120
60
26/06/2023
ISO 37001
Cláusula 6 – Planejamento
121
ISO 37001
Cláusula 6 – Planejamento
122
61
26/06/2023
ISO 37001
Cláusula 6 – Planejamento
Objetivo
Assegurar confiança no uso do Canal de Denúncia
Indicador Meta Fórmula Periodicidade Responsável
Pesquisa (item 80% nota 4 ou 5 No.
respostas 4 ou 5 Anual Comunicação
“Confiança Canal (de 1 a 5) --------------- Interna
Denúncia”) No. total de
respostas
123
Como medir as
O que fazer Recursos Quem Quando
ações
Campanha de Comunicação
R$ 10k (empresa Número de acessos
vídeos da Alta Interna e 3 meses
de ´comunicação) aos vídeos
Direção Compliance
124
62
26/06/2023
ISO 37001
Cláusula 7 – Apoio
7.1 Recursos
7.2 Competências
- Generalidades
- Processo de contratação
7.4 Comunicação
125
ISO 37001
Cláusula 7 – Apoio
7.1 RECURSOS
Exemplo:
• Budget (orçamento anual) indicando os custos
para manutenção do SGAS (salários, viagens,
fornecedores, canal de denúncia, consultores,
auditorias etc).
126
63
26/06/2023
ISO 37001
Cláusula 7 – Apoio
7.2 COMPETÊNCIA
• 7.2.1: Generalidades
• Determinar a competência necessária (educação,
treinamento, experiência) para aqueles que afetam o
desempenho do SGAS;
• Onde aplicável, ações para adquirir e manter
competência;
127
ISO 37001
Cláusula 7 – Apoio
128
64
26/06/2023
ISO 37001
Cláusula 7 – Apoio
129
Gestão de riscos
Teoria da Fraude
130
65
26/06/2023
Teoria da fraude
O DIAMANTE DE FRAUDE é uma teoria que aborda as causas que motivam uma fraude.
A única forma
concreta de se
desenhar bons
controles internos é
“pensar como o(a)
fraudador(a)”, ou
seja, hipotisar a
maneira (mecânica)
de como seria
colocado em prática
o ilícito.
131
Teoria da fraude
PRESSÃO
• Dívidas, vício no jogo ou em drogas, problemas de saúde,
metas de produtividade no trabalho, desejo por padrão de
vida superior.
OPORTUNIDADE
• Controles ineficazes, falhas de governança, organização
não está ciente; falta de monitoramento; a crença de que
ninguém se importa.
132
66
26/06/2023
Teoria da fraude
RACIONALIZAÇÃO
• Acredita ser moralmente aceitável (“eu estava apenas
pegando emprestado”, “eu merecia”, “foi para minha
família”, “não ganho o que mereço”;
CAPACIDADE
• Habilidades pessoais e técnicas para cometer a fraude.
133
Teoria da fraude
134
67
26/06/2023
Teoria da fraude
O DESAFIO, ALÉM
DE INVERTER A
QUANTIDADE, ÉÉ
INVERTER OS
PERCENTUAIS
135
Teoria da fraude
136
68
26/06/2023
Teoria da fraude
Um exemplo de
“CULTURA” em
gestão de riscos
é o tema passar
a ser padrão na
reunião de Board
Fonte: Pesquisa da Maturidade do Processo de Gestão de Riscos no Brasil – KPMG 2022 (LINK)
137
Teoria da fraude
Fonte: Pesquisa Global sobre Fraudes e Crimes Econômicos 2022, PwC (LINK)
138
69
26/06/2023
Gestão de Riscos
Foco ISO 37001, ISO 37301 e ISO 31000
139
Gestão de Riscos
Conceito
140
70
26/06/2023
Gestão de Riscos
Conceito
141
Gestão de Riscos
Conceito
QUESTÃO
b) Dimensões construtivas;
RISCO é uma ameaça ou
incerteza.
c) Normas técnicas aplicáveis;
O que é diferente de
d) Cumprimento da legislação;
REQUISITO que é uma
prerrogativa da conformidade
142
71
26/06/2023
Gestão de Riscos
Conceito
b) Eliminado a fonte;
A única maneira de
c) Por meio de uma análise SWOT; eliminar um risco é
eliminando a fonte.
d) Realizando um Brainstorm;
O que é possível é
reduzir chances de
ocorrência e impacto
143
Gestão de Riscos
Conceito
PLANO DE MONITORAMENTO
TREINAMENTO EQUIPE
QUALIFICAÇÃO DE FORNECEDORES
Todo CONTROLE deriva da
MELHOR COMPRA
CAUSA (mecânica do ilícito)
144
72
26/06/2023
Gestão de Riscos
Conceito para ISO 37001 e ISO 37301
145
Gestão de Riscos
Abordagem
PRINCÍPIO:
A transparência e independência devem ser
princípios para a adequada identificação e gestão A não tangibilização de
dos riscos: um dano não significa que
o risco não existe
TRANSPARÊNCIA
MÚTUO ENTRE EMPRESAS (RISCO PURO)
(INTERCOMPANY)
“A ausência de evidência não é
evidência de ausência” (Carl Sagan)
A EQUIPE de Riscos deve possuir:
PAGAMENTO DE FORNECEDORES
• Conhecimento do Processo DISTRIBUIÇÃO DE DIVIDENDOS
• Conhecimento técnico
• Conhecimento regulatório
• Conhecimento dos riscos
• Conhecimento de ferramentas de
análise de riscos Independência
• Independência
146
73
26/06/2023
Gestão de Riscos
Lista exemplificada de riscos de corrupção
LISTA DE VERIFICAÇÃO DE RISCOS (exemplos)
Favorecimento em • Superfaturamento
contratações de • Fraudes (serviços ou produtos não compatíveis com a contratação)
fornecedores • Compras desnecessárias
• Lavagem de dinheiro
• Cláusulas contratuais falhas
147
Gestão de Riscos
Lista exemplificada de riscos de corrupção (continuação)
LISTA DE VERIFICAÇÃO DE RISCOS (exemplos) – CONTINUAÇÃO
Nota: foram utilizadas como referências parciais o “Guia de Avaliação de Risco de Corrupção do Pacto Global da ONU 2013” (LINK)
e o “Guia Prático de Gestão de Riscos para a Integridade da CGU 2018” (LINK).
148
74
26/06/2023
Gestão de Riscos
Lista de reuniões entrevistas para avaliação de riscos (exemplo)
REUNIÕES E ENTREVISTAS PARA IDENTIFICAÇÃO E AVALIAÇÃO DE RISCO POR PROCESSO
Etapa Público-alvo Temas abordados Duração
estimada
1 Todos no processo • Aspectos básicos do Programa de Compliance e Integridade 1 hora
(funcionários e • Objetivos do processo de identificação dos riscos
subcontratados) • Metodologia a ser adotada
REUNIÃO
• Conceito de riscos de ilícitos
• Conceitos de controles operacionais
2 Gestores do • Apresentação do mapeamento do processo e lista de obrigações 2 horas
processo REUNIÃO • Cronograma
3 Pessoal das • Validação do mapeamento do processo (existência e atividades não 8 horas
atividades e mapeadas)
gestores do • Risco para cada atividade (identificação)
processo • Frequência e impacto potencial (significância)
ENTREVISTA • Ocorrências relacionadas com ilícitos nos últimos 12 (doze) meses
• Desafios, complexidades e dificuldades do processo
• Interlocutores internos e externos (outros funcionários, fornecedores,
agentes públicos)
• Autoridades e responsabilidades principais X documentos internos
• Existência de agentes externos e representantes
• Aspectos de segurança dos dados e informações (armazenamento de
dados, confidencialidade etc.)
• Possibilidade de aprovação de produtos e serviços ou pagamentos
• Outras manifestações voluntárias do entrevistado
Nota: foram utilizadas como referências parciais o “Guia de Avaliação de Risco de Corrupção do Pacto Global da ONU 2013” (LINK)
e o “Guia Prático de Gestão de Riscos para a Integridade da CGU 2018” (LINK).
149
Gestão de Riscos
Avaliação da significância do risco - EXEMPLO
150
75
26/06/2023
Gestão de Riscos
Avaliação da significância do risco - EXEMPLO
Impacto
Tipo de Irrelevante Leve Médio Alto Muito Alto
impacto [1] [2] [3] [4] [5]
Sem valor
Aplicação de Perda de mais
Contratual monetário Notificação Perda do cliente
multa de um cliente
conhecido Se houver mais
Sem dano de Dano de Notícia em de um tipo de
Notícia em Notícia em impacto,
Reputacional imagem imagem junto grande mídia
mídia local mídia regional
conhecido ao cliente nacional selecionar o de
Sem dano de Perda de maior pontuação
Aplicação de
Regulatório regulatório Notificação certidão Inelegibilidade
multa
conhecido governamental
Fraude /
> R$ 100 > R$ 1.000 > R$ 10.000 > R$ 50.000 > R$ 50.001
desvio
Frequência
Muito baixa Baixa Média Alta Muito Alta Frequência
[1] [2] [3] [4] [5] significa o “nível
> 1 vês ao 1 vês mês semanal 1 vês ao > 1 vês ao de exposição” ao
mês dia dia risco
151
Gestão de Riscos
ISO 31000
O propósito principal
nestes slides, além de
explicar resumidamente
a ISO 31000, é
demonstrar como as
próprias normas
ISO 37001 e ISO
37301 estão
completamente
alinhadas com a ISO
31000
152
76
26/06/2023
Gestão de Riscos
ISO 31000
153
Gestão de Riscos
ISO 31000
154
77
26/06/2023
Gestão de Riscos
ISO 31000
155
Gestão de Riscos
ISO 31000
156
78
26/06/2023
Gestão de Riscos
Matriz de Riscos
A Organização deve efetuar uma avaliação de TODOS os RISCOS em todos os processos (abaixo
segue um exemplo de planilha de análise de riscos)
157
Gestão de Riscos
Ferramentas de análise
• 5 Porquês
• Check-lists
Nota: pode ser consultadas as normas técnicas NBR ISO 31000 – Gestão de Riscos e NBR ISO /
IEC 31010 – Gestão de Riscos – Técnicas Para o Processo de Avaliação de Riscos
158
79
26/06/2023
Gestão de Riscos
Ferramentas de análise
Nesta ferramenta,
identifica-se a causa base
a partir do risco (problema)
entre um conjunto de 6
macro possibilidade (M)
159
Gestão de Riscos
Ferramentas de análise
160
80
26/06/2023
Gestão de Riscos
Ferramentas de análise
ANÁLISE DO RISCO
Processo Atividad Risco Causa Controle (tratar Monitorament Verificação
e principal a causa) o do processo Eficácia
(mitigação do
risco)
Suprimentos Cotação Privilegiar
indevidamen
te um
fornecedor
não
competitivo
161
Gestão de Riscos
Ferramentas de análise
162
81
26/06/2023
Gestão de Riscos
Ferramentas de análise
Porquê (ou como) 1 Porquê (ou como) 2 Porquê (ou como) 3 Porquê (ou como) 4 Porquê (ou como) 5
163
Gestão de Riscos
Ferramentas de análise
ANÁLISE DO RISCO
164
82
26/06/2023
Gestão de Riscos
Exemplos de controles
Exemplos de controles operacionais específicos (para riscos significativos)
165
Gestão de Riscos
Matriz de Riscos
Não é possível
mitigar 100%
(eliminar),
enquanto houver a
RISCO RESIDUAL - EXEMPLO fonte do risco
A adoção de risco residual permite entender se, a priori, os controles existentes reduziriam o
risco para a zona de “apetite ao risco”.
Nível de Mitigação
Profissional
Procedimentos Automação da Ocorrência do dano nos últimos 12
habilitado (B)
documentados (A) atividade (C) meses (D)
(formação técnica)
NÃO SIM
EXEMPLO:
Risco 3 (frequência) x 5 (impacto) = 15 (Risco EXTREMO)
Mitigação = A (20%) + B (20% + C (20%) + D (20%) = 80%
RISCO MITIGADO = 15 – 80% = 3 (Risco BAIXO) (dentro do apetite a risco)
166
83
26/06/2023
Gestão de Riscos
Ferramentas de análise
75%
3
167
Gestão de Riscos
Conclusões
168
84
26/06/2023
ISO 37001
Cláusula 7 - Apoio
169
170
85
26/06/2023
ISO 37001
Cláusula 7 - Apoio
DOCUMENTO CONTROLES
Identificação Título
Data Controle Revisão
Diz como se FAZ
Autor Análise crítica
Aprovação Paginação
CONTEÚDO
Deve ser
“desenhado” para Métodos Critérios
atingir OBJETIVOS Objetivos Controles operacionais
e gerir RISCOS Autoridades Responsabilidades
REGISTRO CONTROLES
Identificação Distribuição
Acesso Recuperação
Diz como foi FEITO
Preservação Armazenamento
Retenção Disposição
171
ISO 37001
Cláusula 7 - Apoio
7.5.1 Generalidades
172
86
26/06/2023
ISO 37001
Cláusula 7 - Apoio
173
ISO 37001
Cláusula 8 - Operação
174
87
26/06/2023
ISO 37001
Cláusula 8 - Operação
Qualquer processo
• Planejar, implementar, analisar e controlar os processos do
da organização deve
SGAS; ser objeto de
• Definir critérios para os processos; avaliação de risco e
• Implementar controle de processos; controle. Não pode
ser excluído por ser
• Manter informações documentadas sobre a confiança terceirizado
na execução.
175
ISO 37001
Cláusula 8 - Operação
176
88
26/06/2023
Due Dilicence
RISCO AO SGAS SIGNIFICATIVO
177
A análise deve considerar o risco e não ser “sine qua non” (exemplo: relações políticas)
178
89
26/06/2023
ISO 37001
Cláusula 8 - Operação
179
ISO 37001
Cláusula 8 - Operação
180
90
26/06/2023
ISO 37001
Cláusula 8 - Operação
181
ISO 37001
Cláusula 8 - Operação
182
91
26/06/2023
ISO 37001
Cláusula 8 - Operação
183
ISO 37001
Cláusula 8 - Operação
184
92
26/06/2023
ISO 37001
Cláusula 8 - Operação
185
ISO 37001
Cláusula 8 - Operação
186
93
26/06/2023
ISO 37001
Cláusula 8 - Operação
8.5 IMPLEMENTAÇÃO DE CONTROLES ANTISSUBORNO POR
ORGANIZAÇÕES CONTROLADAS E POR PARCEIROS DE NEGÓCIO
Aplicável a:
ORGANIZAÇÕES NÃO
CONTROLADAS
• Empresas onde a
organização seja sócia
Holding controladora
Sócio PJ
ISO 37001
Cláusula 8 - Operação
188
94
26/06/2023
ISO 37001
Cláusula 8 - Operação
189
ISO 37001
Cláusula 8 - Operação
190
95
26/06/2023
CONTROLES REQUERIDOS
Comprometimento Antissuborno
PARCEIROS CONTROLADOS
CONSÓRCIOS
JOINT-VENTURES • APLIQUE O SGAS DA
(líder ou maior OUTRAS EMPRESAS ORGANIZAÇÃO
acionista) (onde a Organização ou
possua sociedade e
• POSSUA SEUS CONTROLES
controle acionário)
EMPRESAS DO ANTISSUBORNO
GRUPO
(geridas pela
• Nota: Auditoria Interna com
holding)
avaliação da eficácia
Clientes Conselheiro
191
Atividade Individual
Quizz 2
Generalidades ISO 37001 e temas relacionados
• Acessem www.kahoot.it
• Digitem o código informado pelo instrutor
• 10 questões alternativas
• Duração: 10 minutos
192
96
26/06/2023
ISO 37001
subjetivas (qualitativas) sejam
desenvolvidas dentro de um
Cláusula 8 - Operação ambiente de governança
(exemplo: comitê composto pelas
partes interessadas)
Exemplos:
Presentes Entretenimento
Hospitalidade; Doações políticas ou de caridade
Viagem de representante do cliente Viagem de representante de agente público
Despesas promocionais Patrocínio
Benefícios para comunidade Treinamentos
Associações à clubes Favores pessoais
Informação privilegiada e confidencial
193
ISO 37001
Cláusula 8 - Operação
Exemplos de controles
194
97
26/06/2023
ISO 37001
Cláusula 8 - Operação
195
ISO 37001
Cláusula 8 – Operação
• Procedimentos que:
• Encoraje o relato de práticas inadequadas;
• Assegurem confidencialidade (exceto na
extensão para avançar numa investigação);
• Relato de forma anônima, proibam retaliação
e protejam os denunciantes;
196
98
26/06/2023
• Implementar procedimentos:
• Avaliação e, onde apropriado, investigação de qualquer suborno,
ou violação da política do SGAS;
Neste processo reside, em grande
• Ação em caso de suborno, ou violação da política ou do SGAS; parte, o sucesso do SGAS!
• Dar poder e capacidade aos investigadores;
Quando as pessoas passam a
• Requeiram cooperação na investigação; e confiar no mecanismo de
denúncias, o SG se retroalimenta
• Resultados da investigação sejam relatados para a função de e começa a prover os resultados
compliance antissuborno, como apropriado; esperados e maior confiança e
• Investigação conduzida de forma confidencial. controle
197
• Planejamento prévio (Plano de Investigação) para definir etapas, ouvir todas as pessoas
chave e estabelecer questões e documentos a serem coletados
• Envolver outras áreas especializadas (exemplo: RH) para planejamento e avaliar riscos
• Segurança pessoal
198
99
26/06/2023
ISO 37001
Cláusula 9 – Avaliação de Desempenho
199
ISO 37001
Cláusula 9 – Avaliação de Desempenho
• Determinar:
• O que precisa ser monitorado e medido;
• Quem é responsável pelo monitoramento;
• Métodos para monitoramento, medição, análise e avaliação;
• Quando o monitoramento e a medição devem ser realizados;
Exemplo
• Quando os resultados devem ser analisados e avaliados; • Os métodos de
monitoramento podem estar
• Para quem e como tais informações devem ser ser relatadas. definidos em cada
procedimento.
• Avaliar o desempenho antissuborno, eficiência e eficácia • A Função de Compliance
do SGAS; Antissuborno pode possui
uma Tabela Geral de
Monitoramentos
200
100
26/06/2023
ISO 37001
Cláusula 9 – Avaliação de Desempenho
Haverá um módulo
sobre auditoria de
sistemas de gestão
com base na ISO
19011
201
ISO 37001
Cláusula 9 – Avaliação de Desempenho
202
101
26/06/2023
ISO 37001
Cláusula 9 – Avaliação de Desempenho
203
ISO 37001
Cláusula 9 – Avaliação de Desempenho
204
102
26/06/2023
ISO 37001
Cláusula 9 – Avaliação de Desempenho
205
ISO 37001
Cláusula 9 – Avaliação de Desempenho
206
103
26/06/2023
ISO 37001
Cláusula 9 – Avaliação de Desempenho
• Relatórios internos de
desempenho e indicadores
207
Atividade em Grupo
Orientações
• Formulário
• Elaborar em 20 minutos
• Duração 5 minutos
• Representante do grupo apresenta (demais podem comentar)
208
104
26/06/2023
ISO 37001
Cláusula 10 – Melhoria
209
ISO 37001
Cláusula 10 – Melhoria
10.2 MELHORIA
210
105
26/06/2023
Aspectos
específicos
ISO 37301
Sistema de Gestão de Compliance
211
Trata-se de norma
internacional (ISO). A
norma nacional (ABNT
ISO 37301 NBR ISO) é apenas uma
Emissão da norma tradução
Versão
definitiva
Por ser uma norma de
(após 3
REQUISITOS (e não
consultas
diretrizes como a ISO
públicas)
19600), é certificável
A norma possui um
ANEXO A (não
normativo e não
auditado), mas muito
útil para a implantação
212
106
26/06/2023
ISO 37301
Emissão da norma
Substituída
pela ISO
37301
Mas a ISO
37001
permanece Publicada
- Inglês: Abr/21
Fonte: https://www.iso.org/standard/75080.html
- Português (Brasil): Jun/21
213
ISO 37301
Estrutura normativa
Programa de Compliance
Programa de Integridade
Fonte: CGU (www.cgu.gov.br)
214
107
26/06/2023
ISO 37301
Aspectos específicos X ISO 37001
215
ISO 37301
Aspectos específicos X ISO 37001
• Etc
216
108
26/06/2023
ISO 37301
Relação com o Programa de Integridade
ATOS ILÍCITOS. Art. 5o da Lei 12.846/2013
ISO 37301
Relação com o Programa de Integridade
ORGANIZAÇÃO • Ambiental
PÚBLICA OU
PRIVADA • Fraude
ISO 37301:2021
• Corrupção
Sistema de Gestão de Compliance
218
109
26/06/2023
Cumprir
Atingir
Prevenir OBRIGAÇÕES
OBJETIVOS
RISCOS
ISO 37301:2021
Escopo:
Programa de Integridade
219
220
110
26/06/2023
Regulação Anticorrupção
Avaliação da Efetividade do Programa de Integridade
221
4 – Contexto da Organização
5 - Liderança
6 - Planejamento
7 – Apoio
8 – Operação
9 – Avaliação do desempenho
10 - Melhoria
222
111
26/06/2023
ISO 37301
LEGENDA: DIFERENÇAS E SEMELHANÇAS
223
ISO 37301
Cláusula 3 – Termos e definições
Indivíduos em uma relação reconhecida como uma relação de trabalho com base
em uma prática ou lei nacional, ou em qualquer relação contratual na qual a sua
atividade dependa da organização
224
112
26/06/2023
ISO 37301
Cláusula 3 – Termos e definições
225
ISO 37301
Cláusula 3 – Termos e definições
3.26 compliance
Valores, ética, crenças e conduta que existem por toda a organização e interagem
com as estruturas e os sistemas de controle da organização para produzir normas
comportamento que contribuem com o compliance
226
113
26/06/2023
ISO 37301
Cláusula 3 – Termos e definições
CULTURA DE COMPLIANCE
227
ISO 37301
Cláusula 3 – Termos e definições
3.29 Conduta
3.31 Procedimento
228
114
26/06/2023
ISO 37301
Cláusula 4 – Contexto da Organização
229
230
115
26/06/2023
ISO 37301
Cláusula 4 – Contexto da Organização
Nota
• Terceiras partes incluem parceiros
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO de negócio
(ver definição – cláusula 3.30) da ISO 37301
• Mapear questões internas e externas críticas:
• Tamanho, estrutura, autoridades;
• Localizações e setores onde opera;
• Natureza, escala e complexidades, sustentabilidade;
• modelo de negócio, estratégia
• controladas e controladoras;
• parceiros de negócio, negócios com terceiras partes
• natureza e extensão das Interações com agentes públicos
• Obrigações e deveres; contexto regulatório e legal
• Situação econômica
• Contexto ambiental, cultural e social
• Estruturas internas, políticas, processos, recursos e tecnologia
• Cultura de compliance
231
ISO 37301
Cláusula 4 – Contexto da Organização
Exemplos
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Balanços
• DRE – Demonstrações de
• Mapear questões internas e externas críticas: Resultado do Exercício
• Tamanho, estrutura, autoridades; • Demonstrações de Fluxo de Caixa
• Localizações e setores onde opera; • Valuation
• Natureza, escala e complexidades, sustentabilidade; • Resultados de auditorias fiscais
• Indicadores financeiros: Taxa de
• modelo de negócio, estratégia
Endividamento, EBIDTA etc
• controladas e controladoras;
• parceiros de negócio, negócios com terceiras partes
• natureza e extensão das Interações com agentes públicos
• Obrigações e deveres; contexto regulatório e legal
• Situação econômica
• Contexto ambiental, cultural e social
• Estruturas internas, políticas, processos, recursos e tecnologia
• Cultura de compliance
232
116
26/06/2023
ISO 37301
Cláusula 4 – Contexto da Organização
Exemplos:
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Instrumentos de sistemas de
gestão já presentes na
• Mapear questões internas e externas críticas: organização
• Softwares
• Tamanho, estrutura, autoridades;
• Mapeamento de processos
• Localizações e setores onde opera;
• Organogramas
• Natureza, escala e complexidades, sustentabilidade;
• Documentos
• modelo de negócio, estratégia • Budgets
• controladas e controladoras; • Head Count (pessoal e suas
• parceiros de negócio, negócios com terceiras partes competências e atribuições)
• natureza e extensão das Interações com agentes públicos
• Obrigações e deveres; contexto regulatório e legal
• Situação econômica
• Contexto ambiental, cultural e social
• Estruturas internas, políticas, processos, recursos e tecnologia
• Cultura de compliance
233
ISO 37301
Cláusula 4 – Contexto da Organização
Exemplos:
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO • Valores publicados
• Pesquisa de cultura de compliance
• Mapear questões internas e externas críticas: • Posicionamentos formais da alta
• Tamanho, estrutura, autoridades; direção
• Localizações e setores onde opera; • Processos disciplinares
• Natureza, escala e complexidades, sustentabilidade;
• Ver definição – cláusula 3.28 da ISO 37301
• modelo de negócio, estratégia
• controladas e controladoras;
• parceiros de negócio, negócios com terceiras partes
• natureza e extensão das Interações com agentes públicos
• Obrigações e deveres; contexto regulatório e legal
• Situação econômica
• Contexto ambiental, cultural e social
• Estruturas internas, políticas, processos, recursos e tecnologia
• Cultura de compliance
234
117
26/06/2023
ISO 37301
Cláusula 10 – Melhoria
235
ISO 37301
Cláusula 4 – Contexto da Organização
EXEMPLOS
• Leis e regulamentos;
• Permissões, licenças ou outras formas de autorização;
• Ordens, regras ou diretrizes emitidas por agências reguladoras;
• Decisões de tribunais de justiça ou tribunais administrativos;
• Tratados, convenções e protocolos;
• Acordos com grupos comunitários ou organizações não governamentais;
• Acordos com autoridades públicas e clientes;
• Requisitos organizacionais, como políticas e procedimentos;
• Princípios voluntários ou códigos de práticas;
• Rotulagem voluntária ou compromissos ambientais;
• Obrigações decorrentes de acordos contratuais com a organização;
• Normas internacionais e industriais pertinentes;
236
118
26/06/2023
ISO 37301
Cláusula 4 – Contexto da Organização
Nota:
• Aqui, trata-se de essencialmente,
uma due diligence, já abrangido
4.5 4.6 AVALIAÇÃO DE RISCOS na cláusula 8.2 da ISO 37001
• Terceira parte inclui também
Avaliar regularmente os riscos; os fornecedores e demais partes
• Riscos que podem ser antecipados; que a organização se relaciona
• Analisar, avaliar e priorizar os riscos; (conselheiros, acionistas,
representantes, clientes etc)
• Avaliar a eficácia dos controles para mitigar os riscos;
• Riscos de compliance relacionados à atividades, produtos e
serviços, bem como, processos terceirizados e de terceira parte
237
ISO 37301
Cláusula 5 – Liderança
5.2 Política
238
119
26/06/2023
ISO 37301
Cláusula 5 – Liderança
239
ISO 37301
Cláusula 5 – Liderança
240
120
26/06/2023
ISO 37301
Cláusula 5 – Liderança
Nota:
5.1 LIDERANÇA E COMPROMETIMENTO
• Estes requisitos já
5.1.3 GOVERNANÇA DE COMPLIANCE constam da cláusula
5.3.2 da ISO 37001
Assegurar:
241
ISO 37301
Cláusula 5 – Liderança
• Proíba o suborno;
• Compromisso formal com o Sistema de Gestão;
• Encoraje o levantamento de preocupações, sem medo de
represália;
• Explique a autoridade e independência da Função de Compliance
Antissuborno;
• Explique consequências do não cumprimento da política;
• Deve ser comunicada aos parceiros de negócio;
• Disponível às partes interessadas (Documento público)
• estar alinhada com os valores, objetivos e estratégia da
organização;
• apoiar os princípios de governança de compliance de acordo com
5.1.3;
• fazer referência e descrever a função de compliance;
• ser adequadamente implementada e condicionada;
242
121
26/06/2023
ISO 37301
Cláusula 5 – Liderança
243
ISO 37301
Cláusula 5 – Liderança
244
122
26/06/2023
ISO 37301
Cláusula 5 – Liderança
245
ISO 37301
Cláusula 5 – Liderança
246
123
26/06/2023
ISO 37301
Cláusula 6 – Planejamento
247
ISO 37301
Cláusula 6 – Planejamento
248
124
26/06/2023
ISO 37301
Cláusula 7 – Apoio
7.1 Recursos
7.2 Competências
- Generalidades
- Processo de contratação
- Treinamento
7.4 Comunicação
249
ISO 37301
Cláusula 7 – Apoio
7.1 RECURSOS
7.2 COMPETÊNCIA
7.2.1 Generalidades
250
125
26/06/2023
ISO 37301
Cláusula 7 - Apoio
251
ISO 37301
Cláusula 7 - Apoio
252
126
26/06/2023
ISO 37301
Cláusula 7 - Apoio
253
ISO 37301
Cláusula 8 - Operação
254
127
26/06/2023
ISO 37301
Cláusula 8 - Operação
Qualquer processo
da organização deve
8.1 PLANEJAMENTO OPERACIONAL E CONTROLE ser objeto de
avaliação de risco e
• Sem requisitos específicos significativos em relação à ISO 37001 controle. Não pode
ser excluído por ser
terceirizado
8.2 ESTABELECENDO CONTROLES E PROCEDIMENTOS
255
ISO 37301
Cláusula 8 – Operação
• Procedimentos que:
• Encorajem o relato de boa-fé de práticas inadequadas de
suspeita ou real de suborno, ou qualquer violação ou fragilidade
fraqueza da Política de Antissuborno Compliance ou das
obrigações de compliance
• Assegurem confidencialidade (exceto na extensão para avançar
numa investigação);
• Assegurem relato de forma anônima, proibam retaliação e
protejam os denunciantes;
256
128
26/06/2023
257
ISO 37301
Cláusula 9 – Avaliação do Desempenho
258
129
26/06/2023
ISO 37301
Cláusula 9 – Avaliação do Desempenho
Exemplos:
• Pessoal
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO • Clientes
9.1.1 Generalidades • Terceiras partes
• Parceiros de negócio
• Sem requisitos específicos significativos em relação à ISO 37001, • Órgãos reguladores
cláusula 9.1 • Log e registros de
atividades
9.1.2 Fontes de feedback sobre o desempenho de compliance • Auditorias
259
ISO 37301
Cláusula 9 – Avaliação do Desempenho
Exemplos:
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO • Percentual de treinamento
efetivo
9.1.3 Desenvolvimento de indicadores • Frequência de contato com
reguladores
• Desenvolver, implementar e manter um conjunto apropriado • Uso do canal de denúncia
de indicadores que orientem a organização na avaliação do • Gestão de pendências de não
alcance dos seus objetivos de compliance, para avaliar o seu compliance
desempenho de compliance. • Ganhos e perdas potenciais
260
130
26/06/2023
ISO 37301
Cláusula 9 – Avaliação do Desempenho
Exemplos:
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO • Assuntos a notificar para a
autoridade reguladora;
9.1.4 Relatórios de Compliance • Alterações nas obrigações de
compliance e seu impacto;
• Estabelecer, implementar e manter processos para reportes
• Desempenho do compliance;
de compliance, assegurando:
• Ações corretivas tomadas;
a) critérios apropriados para notificação;
b) tempos para notificações regulares; • Eficácia, alcance e tendências do
Sistema de gestão;
c) um sistema de notificação por exceção está implementado
para facilitar notificações "ad hoc"; • Contato e relacionamento com
regulamentadores;
d) processos e sistemas para assegurar a precisão e
completeza da informação; • Resultados e auditorias e
monitoramento;
e) informação precisa e completa é fornecida de modo a
permitir ações de remediação, corretivas e preventivas,
tomadas em um tempo hábil.
• Relatórios protegidos de modificação
261
ISO 37301
Cláusula 9 – Avaliação do Desempenho
262
131
26/06/2023
ISO 37301
Cláusula 9 – Avaliação do Desempenho
263
ISO 37301
Cláusula 10 – Melhoria
264
132
26/06/2023
ISO 37301
Cláusula 10 – Melhoria
265
ISO 37301
Mudanças e perspectivas – Desafio (TRANSIÇÃO)
• Um certificação NOVA conforme ISO 37301 • Um certificação NOVA conforme ISO 37301
• Tempo reduzido de auditoria • Tempo integral de auditoria
• Certificação integrada
266
133
26/06/2023
ISO 37301
Mudanças e perspectivas – Desafio (NOVAS NORMAS)
267
ISO 37301
Mudanças e perspectivas
CONCLUSÕES
• ISO 37301 é uma inovação positiva e muito bem
vinda
268
134
26/06/2023
Etapas principais de
implementação
269
Implementação
11. Implementação dos
1. Definição do escopo 6. Identificação dos riscos controles, procedimentos e
políticas
13. Monitoramento e
3. Levantamento
8. Causa (evento) dos riscos coleta de dados e
contexto da organização
desempenho
10. Determinação
5. Mapeamento dos 15. Análise crítica pela
monitoramento e eficácia
processos (testes dos controles) direção e órgão diretivo
270
135
26/06/2023
Auditorias de
Sistemas de Gestão
Avaliação da eficácia
Foco ISO 19011
Outras referências
ISO/IEC TS 17021-1
ISO/IEC TS 17021-9
ISO/IEC TS 17021-13
271
É necessária
uma visão
holística da
organização
272
136
26/06/2023
Auditoria
Processo sistemático, documentado e independente para
obter evidências de auditoria e avaliá-las objetivamente,
determinando a extensão na qual os critérios de auditoria
são atendidos.
Evidência objetiva
Dados que apoiam a evidência ou veracidade de alguma
coisa.
273
Critérios da auditoria
Conjunto de requisitos usados como uma referência com a
qual a evidência objetiva é comparada
Constatações de auditoria
Resultados de avaliação de evidência de auditoria
coletada, comparada com os critérios da auditoria
Eficácia
Extensão na qual atividades planejadas são executadas e
resultados planejados são alcançados
274
137
26/06/2023
Integridade Independência
O fundamento do A base da imparcialidade e
profissionalismo objetividade das conclusões
Cuidado profissional
Aplicação de diligência e
Confidencialidade
julgamento em auditoria Abordagem baseada
Segurança de informação
em risco
Considerando riscos e
oportunidades
275
276
138
26/06/2023
277
278
139
26/06/2023
Requisitos Saídas
• Clientes Processo • Satisfação
RISCOS • Legais
• Conformidade
• Normativos RISCOS
• Incerteza • Bem/serviço
• Legislação
• Uso incorreto
• Humano Entradas Métodos e Resultados
• Falhas mecanismos de
controle
Reavaliação contínua
279
Reavaliação contínua
280
140
26/06/2023
281
282
141
26/06/2023
283
Constatações
Critérios da Auditoria da Auditoria
Auditoria
Relatório da
Equipe da Auditoria
Auditoria
Especialista
Auditor
284
142
26/06/2023
285
286
143
26/06/2023
PRÁTICAS DE AUDITORIA
287
Acompanhando
Acompanhando Acompanhando
Acompanhando
um
umprocesso
processode um
umprocesso
processode
frente
de de Dificilmente um grande
frentepara
paratrás
trás trás
tráspara
parafrente
frente
risco é mitigado com um
único controle em um
Vertical único processo
Vertical
288
144
26/06/2023
6. RH:
2. Vendas:
Auditado treinamento
Auditado proposta Cliente B
funcionários obra C
Não foi assegurada a
trilha de auditoria
3. Suprimentos: 5. Compliance:
Auditado processo compras Auditado due diligence
tijolo fornecedor de fundações
4. Controladoria: 4. Jurídico:
Auditado pagamento Auditado contrato com
fornecedor tinta cliente C
289
TRILHA DE AUDITORIA
6. RH:
2. Vendas:
Auditado treinamento mestre
Auditado proposta Cliente A
de obras cliente A
3. Suprimentos: 5. Compliance:
Auditado processo compra Auditado due diligence
terraplenagem fornecedor terraplenagem
4. Controladoria: 4. Jurídico:
Auditado pagamento Auditado contrato com
fornecedor terraplenagem cliente A
290
145
26/06/2023
ABORDAGEM DA AUDITORIA
1. Me explique o BASEADA EM RISCOS 5. Riscos
processo (NO PROCESSO) identificados?
6. Riscos
2. Me apresente a
coerentes
matriz de risco
(significância)?
7. Controles
3. Me apresente
apropriados
o procedimento
(causa)?
4. Me explique e 8. Controles
evidencie os eficazes (mitigam o
controles risco)?
291
292
146
26/06/2023
Detalhamento suficiente:
• Horários
• Critérios
• Responsáveis
• Processos
• Escopo
293
294
147
26/06/2023
295
Inferência
O aquecedor não funciona
Opinião
Será que não seria melhor aumentar a temperatura da
sala?
296
148
26/06/2023
297
Não conformidade:
O Auditor de Sistema de
Gestão não deve procurar NC.
Há perda de independência e
objetividade, tornando-se investigação.
Esta deve ser o resultado de uma trilha
de auditoria
298
149
26/06/2023
O propósito é que um
Conforme a NBR ISO 9000: problema não mais
ocorra, ao menos, pela
Ação corretiva: mesma causa
299
300
150
26/06/2023
Causa raiz O fornecedor possui um contrato mensal de R$ 100.000,00, assim, o Assistente Financeiro
(o porquê primário da não atentou para o valor distinto ao programar o pagamento. Falta de um sistema
ocorrência da NC) integrado conectando Compras, Operação e Contas a Pagar.
Ação corretiva
(Eliminar a causa e
Adquirir um sistema integrado conectando Compras, Operação e Contas a Pagar
atuar no processo,
evitando recorrência)
301
AUDITOR
Descrição
Evidenciado que o controle financeiro não eficaz
Evidência O extrato bancário 1234 registra no dia DD/MM/AAAA o valor de R$ 100.000,00 para
o fornecedor XYZ LTDA, no entanto, o Pedido de Compra VVVVV e Autorização de
Pagamento mencionam R$ 50.000,00
Requisito Cláusula 8.3 (controles financeiros) da ISO 37001
Impacto
potencial Transferência indevida que possibilitaria o pagamento de suborno a cliente via
fornecedor
302
151
26/06/2023
303
304
152
26/06/2023
305
Gestor do Revisor do
Equipe auditora
Programa relatório
Geral de auditoria
Conceitos de suborno
Contexto da organização
Controles Antissuborno
306
153
26/06/2023
Tendências de uso
da certificação
307
308
154
26/06/2023
309
Programa de Integridade
Cenário regulatório e a efetividade
Art. 42. § 2º. Considera a efetividade do Art. 60. Alínea IV. Em caso de empate,
Programa de Integridade na apuração do um dos critérios é a adoção de Programa
ato lesivo de Integridade
310
155
26/06/2023
Processo de
certificação da
organização e do
auditor
ISO/IEC TS 17021-1 e ISO/IEC TS 17021-9 introdução
311
Processo de Certificação
Vantagens estratégicas
➢ Modelo padronizado
➢ Reconhecimento mútuo
➢ Avaliação sistemática
➢ Mitigação de riscos
➢ Harmonização de critérios
➢ Redução de custos
➢ Transparência
312
156
26/06/2023
Processo de Certificação
Vantagens estratégicas
➢ Harmonização de critérios
313
Processo de Certificação
Vantagens estratégicas
➢ Mitigação de riscos
314
157
26/06/2023
Processo de Certificação
Vantagens estratégicas
➢ Mitigação de riscos
315
Processo de Certificação
Etapas de certificação de terceira parte
Preenchimento Empresa
Questionário
O escopo da certificação da Organização (CNPJ)
deve abranger:
• todos os processos;
• suas atividades fim;
• suas instalações controladas (filiais e CNPJs);
• atividades executadas externamente
(contratos, obras etc);
• pessoal próprio, subcontratados e
fornecedores nos sites;
IMPORTANTE:
O Sistema de Gestão deve
estar completamente
implementado há pelo
menos 3 meses (para que
seja possível avalia a
eficácia)
316
158
26/06/2023
Processo de Certificação
Etapas de certificação de terceira parte
Os tempos de auditoria seguem tabela
Preenchimento Empresa
internacional (hamonizada) para
Questionário assegurar isonomia nas propostas. A
duração da auditoria (número de
homens/dia) leva em consideração:
• Número de pessoas;
Emissão de Proposta • Amostragem de sites
Certificadora • Complexidade das atividades
Técnico / Comercial
• Nível de risco
317
Processo de Certificação
Etapas de certificação de terceira parte
Preenchimento Empresa
Questionário
318
159
26/06/2023
Processo de Certificação
Etapas de certificação de terceira parte
TABELA INTERNACIONAL DE DIAS DE AUDITORIA ISO 37001
319
Processo de Certificação
Etapas de certificação de terceira parte
Preenchimento
Empresa
Questionário
Emissão de Proposta
Certificadora
Técnico / Comercial
Agendamento Auditoria
e designação equipe Certificadora
auditora
Agenda detalhada com datas, horários,
processos, requisitos das normas a serem
Emissão Plano de auditados
Certificadora
Auditoria
NOTA: antecipadamente podem ser
solicitados alguns documentos (Manual de
Gestão, Análise de Riscos, Organograma
etc) para orientar o planejamento
320
160
26/06/2023
Processo de Certificação
Etapas de certificação de terceira parte
Agendamento
Auditoria e designação Certificadora
equipe auditora
321
Processo de Certificação
Etapas de certificação de terceira parte
A auditoria é realizada:
O foco da auditoria é:
• 100% AO VIVO (online ou presencial) • Avaliação de cada requisito da norma (não
• Visitas a todos os processos buscar NC, mas sim, evidências que comprovem
a conformidade);
• Entrevistas com gestores
• EFICÁCIA NA GESTÃO DOS RISCOS ao longo
• Entrevistas privadas com força de trabalho dos processos;
(amostral)
• Visita a sites (filiais, contratos etc) (amostral)
• NC Maior (180 dias – auditoria suplementar)
• Avaliação de documentos e registros (amostral) • NC Menor (180 dias para fechar NC, verificada na
Ao final é emitido um relatório com o parecer. próxima auditoria)
• Recomendação (avaliada na próxima auditoria)
322
161
26/06/2023
Processo de Certificação
Etapas de certificação de terceira parte
Avaliação
Emissão de Proposta Certficadora independente Comitê Certificadora
Técnico / Comercial
Técnico
Agendamento
Auditoria e designação Certificadora Emissão Certificado Certificadora
equipe auditora
323
Processo de Certificação
Etapas de certificação de terceira parte
Avaliação
Emissão de Proposta Certificadora independente Comitê Certificadora
Técnico / Comercial
Técnico
Agendamento
Auditoria e designação Certificadora Emissão Certificado Certificadora
equipe auditora
324
162
26/06/2023
Certificação
Registro de Auditores Certificados
Os auditores que possuem certificados de aprovação como Auditor Líder Antissuborno ISO
37001 com duração de pelo menos 40 horas e acreditação baseada na ISO/IEC 17024
(certificação de pessoas) podem, caso desejem, efetuar registro junto à organismo de registro
de auditores de sistemas de gestão.
Alguns Organismos:
O registro depende do organismo possuir programa de registro para a ISO 37001, da comprovaçã, pelo(a)
auditor(a) das competências requeridas para Auditor Antissuborno na ISO/IEC TS 17021-9, bem como, do
reconhecimento do certificado acreditado, que depende livremente de cada instituição (ainda não há um
MLA – Multilateral Agreement para a ISO 37001, por se tratar de programa recente).
325
Conclusões e
orientações
preliminares
sobre a prova
326
163
26/06/2023
Conclusões
• A sociedade se beneficia;
327
328
164
26/06/2023
Critérios de aprovação
Seções da prova e duração:
TODAS as questões são alternativas (múltipla escolha),
com uma única resposta correta
Em caso de aprovação,
o aluno recebe um
a) Total de 100 pontos possíveis, sendo: certificado de aprovação
- Seção 1: questões analíticas (33 pontos) acreditado
- Seção 2: questões interpretativas (18 pontos);
- Seção 3: questões de desenvolvimento (risco) (21 pontos);
- Seção 4: questões diretas (28 pontos); Em caso de reprovação,
o aluno recebe um
certificado de
b) Duração de 3,5 horas, sendo: participação sem
- 30 minutos para leitura da prova e orientações pelo instrutor; acreditação
- 180 minutos realização e entrega da prova;
329
Prova
330
165
26/06/2023
331
332
166
26/06/2023
Critérios de aprovação
Seções da prova e duração:
TODAS as questões são alternativas (múltipla escolha), com
uma única resposta correta Em caso de aprovação,
o aluno recebe um
a) Total de 100 pontos possíveis, sendo: certificado de aprovação
- Seção 1: questões analíticas (33 pontos) acreditado
- Seção 2: questões interpretativas (18 pontos);
- Seção 3: questões de desenvolvimento (21 pontos);
- Seção 4: questões diretas (28 pontos); Em caso de reprovação,
o aluno recebe um
certificado de
b) Duração de 3,5 horas, sendo: participação sem
- 30 minutos para leitura da prova e orientações pelo instrutor; acreditação
- 180 minutos realização e entrega da prova;
Nota mínima
• O critério para aprovação é a pontuação mínima de 70%
333
• Para os reprovados na prova final (ou que não realizaram a prova final
na data determinada, desde que justificado por escrito previamente), é
possível realizar uma prova substitutiva, caso tenha optado por sua
contratação
• A prova substitutiva é realizada até 30 (trinta) dias após a prova final,
em data e horário informados com antecedência pela TRADIUS (uma
única data disponível para cada turma)
• A não realização no prazo ou reprovação na prova substitutiva resulta
em aluno definitivamente reprovado.
• As demais orientações e critérios para a prova substitutiva são os
mesmos dos slides anteriores (prova final)
334
167
26/06/2023
Fim do curso
Sucesso!
335
Obrigado
336
168