Escolar Documentos
Profissional Documentos
Cultura Documentos
Sistema de gestão
de compliance
Diretrizes
Publicada
Junho/2016
ISBN 978-85-07-06228-8
Primeira edição
15-12-2014
ICS 03.100.01
Número de referência
ISO 19600:2014
34 páginas
© ISO 2014
Sumário Página
Prefácio ............................................................................................................................................................ iv
Introdução........................................................................................................................................................ v
1 Escopo ............................................................................................................................................. 1
2 Referências normativas ............................................................................................................ 1
3 Termos e definições ................................................................................................................... 1
4 Contexto da organização .......................................................................................................... 6
4.1 Entendendo a organização e seu contexto .......................................................................... 6
4.2 Entendendo as necessidades e expectativas das partes interessadas .................... 6
4.3 Determinando o escopo do sistema de gestão de compliance .................................... 6
4.4 Sistema de gestão de compliance e princípios de boa governança........................... 6
4.5 Obrigações de compliance .......................................................................................................... 7
4.6 Identificação, análise e avaliação dos riscos de compliance ........................................ 8
5 Liderança ....................................................................................................................................... 9
5.1 Liderança e comprometimento................................................................................................ 9
5.2 Política de compliance ............................................................................................................... 10
5.3 Papéis, responsabilidades e autoridades organizacionais ........................................ 12
6 Planejamento .............................................................................................................................16
6.1 Ações para abordar os riscos de compliance................................................................... 16
6.2 Objetivos de compliance e planejamento para alcançá-los ....................................... 16
7 Apoio .............................................................................................................................................17
7.1 Recursos ..........................................................................................................................17
7.2 Competência e treinamento ........................................................................................17
7.3 Conscientização .............................................................................................................19
7.4 Comunicação ..................................................................................................................21
7.5 Informação documentada............................................................................................21
8 Operação ......................................................................................................................................23
8.1 Planejamento e controle operacional ............................................................................... 23
8.2 Estabelecendo controles e procedimentos ..................................................................... 23
8.3 Processos terceirizados............................................................................................................ 24
9 Avaliação de desempenho .....................................................................................................25
9.1 Monitoramento, medição, análise e avaliação ................................................................ 25
9.2 Auditoria ......................................................................................................................................... 30
9.3 Análise crítica pela direção ..................................................................................................... 31
10 Melhoria .......................................................................................................................................32
10.1 Não conformidade, não cumprimento e ação corretiva ............................................. 32
10.2 Melhoria contínua....................................................................................................................... 33
Bibliografia ....................................................................................................................................................34
Prefácio
A International Organization for Standardization (ISO) é uma federação mundial de órgãos nacionais
de normalização (órgãos membros da ISO). O trabalho de preparação de Normas Internacionais
é normalmente realizado pelos Comitês Técnicos da ISO. Cada órgão membro interessado em
um assunto para o qual foi estabelecido um Comitê Técnico tem o direito de ser representado
neste Comitê. As organizações internacionais, governamentais e não governamentais, em ligação
com a ISO, também participam no trabalho. A ISO colabora estreitamente com a International
Electrotechnical Commission (IEC) em todos os assuntos de normalização eletrotécnica.
Chama-se a atenção para a possibilidade de que alguns dos elementos deste documento podem
ser objeto de direitos de patente. A ISO não pode ser responsabilizada por identificação de
quaisquer direitos de patentes. Os detalhes de quaisquer direitos de patente identificados durante
o desenvolvimento do documento estarão na Introdução e/ou na lista ISO de declarações de
patentes recebidas (ver www.isso.org/patents).
Qualquer nome comercial usado neste documento é uma informação dada para a conveniência
dos usuários e não constitui um endosso por parte da ISO.
Para obter uma explicação sobre o significado de termos específicos ISO e expressões
relacionadas à avaliação da conformidade, bem como informações sobre a adesão da ISO
aos princípios da OMC sobre Barreiras Técnicas ao Comércio (BTC), consultar a seguinte
URL: http://www.iso.org/iso/foreword
O Comitê responsável por este documento é o Comitê de Projeto ISO/PC 271, Sistemas de Gestão
de Compliance.
Introdução
As organizações que pretendem ser bem-sucedidas em longo prazo precisam manter uma cultura
de integridade e �ompliance, bem como considerar as necessidades e expectativas das partes
interessadas. Portanto, integridade e compliance não somente são a base, mas também uma
oportunidade para uma organização sustentável e bem-sucedida.
Um sistema de gestão de compliance eficaz abrangendo toda a organização permite que uma
organização demonstre seu comprometimento com o cumprimento das leis pertinentes, incluindo
requisitos legislativos, códigos da indústria e normas organizacionais, bem como as normas de
boa governança corporativa, boas práticas, ética e expectativas da comunidade.
As organizações estão cada vez mais convencidas de que, por meio da aplicação de valores
acordados e gestão de compliance apropriada, elas podem salvaguardar a sua integridade e evitar
ou minimizar o não cumprimento da lei. Assim, a integridade e o compliance efetivos são elementos-
chave de uma boa e diligente gestão. O compliance também contribui para o comportamento
socialmente responsável das organizações.
Esta Norma Internacional não especifica os requisitos, mas fornece diretrizes sobre sistemas
de gestão de compliance e práticas recomendadas. A orientação desta Norma Internacional,
no sentido de ser adaptável, e o uso desta diretriz podem ser diferentes, dependendo do porte e do
nível de maturidade do sistema de gestão de compliance da organização e do contexto, natureza e
complexidade das atividades da organização, incluindo a sua política e os objetivos de compliance.
Identificação de
questões externas e
Estabelecer
internas (4.1) Determinação do escopo
e estabelecimento do Princípios de boa
sistema de gestão de governança (4.4)
compliance (4.3/4.4)
Identificação dos
requisitos das partes
interessadas (4.2)
Estabelecimento da
política de compliance
Identificação de obrigações
de compliance e avaliação
de riscos de compliance
Manter Desenvolver
Comprometimento da
liderança, independência Planejamento para
Gestão de não
da função compliance (5.1), abordar riscos de
cumprimentos e da
responsabilidades em compliance e alcançar
melhoria contínua (10)
todos os níveis (5.3). objetivos (6)
Funções de suporte (7)
Melhorar
Avaliar Implementar
Avaliação de Planejamento
desempenho e operacional e
relatório de controle dos riscos
compliance (9) de compliance (8)
Esta Norma Internacional adotou a “estrutura de alto nível” (ou seja, sequência de seções, texto
e terminologia comuns), desenvolvida pela ISO para melhorar o alinhamento entre as suas Normas
Internacionais para sistemas de gestão. Além da sua orientação genérica sobre um sistema de
gestão de compliance, esta Norma Internacional também fornece uma estrutura para ajudar na
implementação de requisitos específicos relacionados ao compliance em qualquer sistema de
gestão.
As organizações que não adotaram normas de sistemas de gestão ou uma estrutura de gestão de
compliance podem facilmente adotar esta Norma Internacional como diretriz autônoma dentro
da sua organização.
Esta Norma Internacional é adequada para ampliar os requisitos relacionados ao compliance em
outros sistemas de gestão e para ajudar uma organização na melhoria da gestão global de todas as
suas obrigações de compliance.
Esta Norma Internacional pode ser combinada com normas de sistemas de gestão existentes (por
exemplo, ISO 9001, ISO 14001, ISO 22000) e diretrizes genéricas (por exemplo, ISO 31000, ISO 26000).
1 Escopo
Esta Norma Internacional fornece orientações para o estabelecimento, desenvolvimento, imple-
mentação, avaliação, manutenção e melhoria do sistema de gestão de compliance de forma efetiva
e ágil em uma organização.
As diretrizes relativas aos sistemas de gestão de compliance são aplicáveis a todos os tipos de
organizações. A extensão da aplicação destas diretrizes depende do porte, estrutura, natureza
e complexidade da organização. Esta Norma Internacional é baseada nos princípios da boa gover-
nança, proporcionalidade, transparência e sustentabilidade.
2 Referências normativas
Não há referências normativas.
3 Termos e definições
Para os efeitos deste documento, aplicam-se os seguintes termos e definições.
3.1
organização
pessoa ou grupo de pessoas com suas próprias funções, com responsabilidades, autoridades
e relações para atingir seus objetivos (3.9)
NOTA O conceito de organização inclui, mas não é limitado a, empreendedor individual, companhia,
corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação
destas, sejam elas incorporadas ou não, públicas ou privadas.
3.2
parte interessada (termo preferido)
stakeholder (termo admitido)
pessoa ou organização (3.1) que pode afetar, ser afetada ou se perceber afetada por uma decisão
ou atividade
3.3
Alta Direção
pessoa ou grupo de pessoas que dirige e controla uma organização (3.1) no nível mais alto
NOTA 1 A Alta Direção tem o poder de delegar autoridade e fornecer recursos na organização.
NOTA 2 Se o objetivo do sistema de gestão (3.7) cobrir apenas parte de uma organização, então a Alta
Direção se refere àqueles que dirigem e controlam aquela parte da organização.
3.4
conselho de administração
pessoa ou grupo de pessoas que dirige uma organização (3.1), define orientações e a quem a Alta
Direção (3.3) presta contas
3.5
empregado
indivíduo em um relacionamento reconhecido como uma relação de trabalho em uma lei ou prática
nacional
3.6
função de compliance
pessoa(s) com a responsabilidade da gestão de compliance (3.17)
NOTA De preferência, um indivíduo será designado responsável geral pela gestão de compliance (3.17).
3.7
sistema de gestão
conjunto de elementos inter-relacionados ou interativos de uma organização (3.1), para estabelecer
políticas (3.8), objetivos (3.9) e processos (3.10) para atingir estes objetivos
NOTA 1 Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas.
NOTA 3 O escopo de um sistema de gestão pode incluir a totalidade da organização, funções específicas
e identificadas da organização, seções específicas e identificadas da organização, ou uma ou mais
funções executadas por um grupo de organizações.
3.8
política
intenções e direção de uma organização (3.1), como formalmente expressas pela sua Alta Direção (3.3)
3.9
objetivo
resultado a ser atingido
NOTA 2 Objetivos podem se relacionar a diferentes disciplinas (como finanças, saúde e segurança,
e metas ambientais) e podem se referir a diferentes níveis (como estratégico, de toda a organização,
projeto, produto e processo (3.10)).
NOTA 3 Um objetivo pode ser expresso de outras formas, como, por exemplo, como um resultado
pretendido, um propósito, um critério operacional, um objetivo de compliance ou pelo uso de outras
palavras com significado semelhante (por exemplo, finalidade, meta ou alvo).
NOTA 4 No contexto dos sistemas de gestão de compliance, os objetivos de compliance são definidos
pela organização, de acordo com a política de compliance, para alcançar os resultados específicos.
3.10
processo
conjunto de atividades inter-relacionadas ou interativas que transforma entradas em saídas
3.11
risco
efeito da incerteza sobre os objetivos (3.9)
NOTA 1 Um efeito é um desvio do esperado – positivo ou negativo.
NOTA 3 O risco é frequentemente caracterizado pela referência a “eventos” em potencial (como definido
no ISO Guide 73:2009, 3.5.1.3) e “consequências” (conforme definido no ISO Guide 73:2009, 3.6.1.3),
ou uma combinação destes.
3.12
risco de compliance
efeito da incerteza sobre os objetivos (3.9) de compliance
NOTA Risco de compliance pode ser caracterizado pela probabilidade de ocorrência e pelas
consequências de não cumprimento (3.18) com as obrigações de compliance (3.16) da organização.
3.13
requisito
necessidade ou expectativa que é declarada, geralmente implícita ou obrigatória
NOTA 1 “Geralmente implícita” significa que é costume ou prática comum para a organização e para
as partes interessadas que a necessidade ou expectativa sob consideração seja implícita.
NOTA 2 Um requisito especificado é aquele que é declarado, por exemplo, em informação documentada.
3.14
requisito de compliance
requisito (3.13) que uma organização (3.1) tem que cumprir
3.15
comprometimento de compliance
requisito (3.13) que uma organização (3.1) decide cumprir
3.16
obrigação de compliance
requisito de compliance (3.14) ou comprometimento de compliance (3.15)
3.17
compliance
atendimento a todas as obrigações de compliance (3.16) da organização
NOTA O compliance torna-se sustentado quando incorporado na cultura de uma organização (3.1),
bem como no comportamento e na atitude de pessoas que trabalham para ela.
3.18
não cumprimento
não cumprimento de uma obrigação de compliance (3.16)
NOTA O não cumprimento pode ser um evento único ou múltiplo e pode ou não resultar de uma não
compliance (3.33).
3.19
cultura de compliance
valores, ética e crenças que existem em toda a organização (3.1) e interagem com as estruturas da
organização e sistemas de controle, para produzir normas de comportamento que são favoráveis
aos resultados de compliance (3.17)
3.20
código
declaração de práticas desenvolvidas internamente ou por um órgão internacional, nacional ou
industrial, ou outra organização (3.1)
NOTA O código pode ser obrigatório ou voluntário.
3.21
normas organizacionais e empresariais
códigos (3.20), boas práticas, estatutos, normas técnicas e industriais documentados, considerados
pertinentes por uma organização (3.1)
3.22
autoridade regulamentadora
organização (3.1) responsável por regulamentar ou exigir compliance (3.17) com os requisitos
(3.13) legislativos e outros requisitos
3.23
competência
capacidade de aplicar conhecimentos e habilidades para alcançar os resultados pretendidos
3.24
informação documentada
informação requerida para ser controlada e mantida por uma organização (3.1) e pelo meio no
qual ela está contida
NOTA 1 Informação documentada pode estar em qualquer formato ou meio e proveniente de qualquer
fonte.
3.25
procedimento
forma especificada de executar uma atividade ou um processo (3.10)
3.26
desempenho
resultado mensurável
NOTA 2 Desempenho pode se relacionar à gestão das atividades, processos (3.10), produtos (incluindo
serviços), sistemas ou organizações (3.1).
3.27
melhoria contínua
atividade recorrente ou processo (3.10) para aumentar o desempenho (3.26)
3.28
terceirizar (verbo)
fazer um arranjo onde uma organização (3.1) externa desempenha parte de uma função ou
processo (3.10) de uma organização
NOTA Uma organização externa está fora do sistema de gestão (3.7), embora a função terceirizada
ou processo esteja dentro do escopo.
3.29
monitoramento
determinação da situação de um sistema, um processo (3.10) ou uma atividade
NOTA 1 Para determinar a situação, pode haver necessidade de verificar, supervisionar ou observar
criticamente.
NOTA 2 O monitoramento não é uma atividade que ocorre uma só vez, mas um processo de observação
regular ou contínua de uma situação.
3.30
medição
processo (3.10) para determinar um valor
3.31
auditoria
processo (3.10) sistemático, independente e documentado para obter evidência de auditoria e para
avaliá-la objetivamente, para determinar a extensão na qual os critérios de auditoria são atendidos
NOTA 1 Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa
(segunda parte ou terceira parte), e pode ser uma auditoria combinada (combinando duas ou mais
disciplinas).
3.32
conformidade
atendimento a um requisito (3.13) do sistema de gestão
3.33
não conformidade
não atendimento a um requisito (3.13) do sistema de gestão
3.34
correção
ação para eliminar uma não conformidade (3.33) identificada ou um não cumprimento (3.18)
3.35
ação corretiva
ação para eliminar a causa de uma não conformidade (3.33) ou um não cumprimento (3.18), e para
prevenir a recorrência
4 Contexto da organização
4.1 Entendendo a organização e seu contexto
Convém que a organização determine as questões externas e internas, como as relacionadas aos
riscos de compliance, que são pertinentes para a sua finalidade e que afetam sua capacidade de
atingir o(s) resultado(s) pretendido(s) de seu sistema de gestão de compliance. Ao fazer isto,
convém que a organização considere uma ampla série de aspectos externos e internos, como os
contextos regulamentares, sociais e culturais, a situação econômica e as políticas, procedimentos,
processos e recursos internos.
Convém que o sistema de gestão de compliance reflita os valores, objetivos, estratégia e riscos de
compliance da organização.
Convém que a organização documente suas obrigações de compliance de forma apropriada ao seu
porte, complexidade, estrutura e operações.
— leis e regulamentos;
Convém que as organizações disponham de processos para identificar novas leis e alterações de
leis, regulamentos, códigos e outras obrigações de compliance para assegurar a sua continuidade.
Convém que as organizações tenham processos para avaliar o impacto das mudanças identificadas
e para implementar quaisquer mudanças na gestão das obrigações de compliance.
EXEMPLO Exemplos de processos para a obtenção de informações sobre as alterações às leis e
outras obrigações de compliance incluem:
Convém que os riscos de compliance sejam reavaliados periodicamente e sempre que houver:
— não cumprimento(s).
NOTA 1 A extensão e o nível de detalhes da avaliação do risco de compliance dependem da situação de
risco, do contexto, do porte e dos objetivos da organização, e podem variar para as subáreas específicas
(por exemplo, meio ambiente, finanças, social).
NOTA 2 A abordagem baseada no risco para a gestão de compliance não significa que, para situações de
baixo risco de compliance, o não cumprimento seja aceito pela organização. Ela auxilia as organizações a
focarem a atenção e os recursos primários nos riscos mais elevados como uma prioridade e, finalmente,
irá cobrir todos os riscos de compliance. Todos os riscos/situações de compliance identificados estão
sujeitos a monitoramento, correção e ação corretiva.
5 Liderança
5.1 Liderança e comprometimento
Convém que o conselho de administração e a Alta Direção demonstrem liderança e comprometi-
mento com relação ao sistema de gestão de compliance por:
g) dirigir e apoiar as pessoas que contribuem para a eficácia do sistema de gestão de compliance;
h) apoiar outros papéis de gestão pertinentes para demonstrar à sua liderança como se aplicam
as suas áreas de responsabilidade de compliance;
k) assegurar que o sistema de gestão de compliance atinja o(s) seu(s) resultado(s) pretendido(s);
— a Alta Direção assuma a responsabilidade por assegurar que o comprometimento com o compliance
da organização seja realizado plenamente;
— todos os níveis de gestão consistentemente transmitam uma mensagem clara (demonstrada por pala-
vras e ações) para os empregados de que a organização irá atender às suas obrigações de compliance;
— a função de compliance seja dada a um nível de autoridade que reflita a importância do compliance
efetivo e tenha acesso direto ao órgão regulamentador;
— políticas, procedimentos e processos reflitam não apenas os requisitos legais, mas também códigos
voluntários e valores fundamentais da organização;
— a extensão à qual o compliance será integrado com outras funções, como governança, risco,
auditoria e departamento jurídico;
— os princípios a partir dos quais as relações com as partes interessadas internas e externas
serão gerenciadas;
— seja escrita em linguagem simples para que todos os empregados possam facilmente
compreender os princípios e intenções;
— seja atualizada, conforme requerido, para assegurar que ela permaneça relevante.
Convém que a política de compliance seja estabelecida em alinhamento com os valores, os objetivos
e a estratégia da organização, e seja aprovada pelo conselho de administração.
Não convém que a política de compliance seja um documento autônomo, mas convém que seja apoiada
por outros documentos, incluindo as políticas operacionais, os procedimentos e os processos.
5.2.2 Desenvolvimento
Convém que a Alta Direção assegure que as responsabilidades e autoridades dos papéis pertinentes
sejam atribuídas e comunicadas dentro da organização.
a) assegurar que o sistema de gestão de compliance seja consistente com esta Norma Internacional;
NOTA As atribuições específicas da função de compliance não isentam outros empregados de res-
ponsabilidades para relatar a respeito de compliance que possa existir.
A participação ativa e a supervisão do conselho de administração e da Alta Direção são parte integrante
de um sistema de gestão de compliance efetivo. Isso ajuda a assegurar que os empregados entendam
plenamente a política da organização e os procedimentos operacionais, e como estes se aplicam
aos seus postos de trabalho, para que eles realizem as obrigações de compliance de forma eficaz.
Para um sistema de gestão de compliance ser eficaz, o conselho de administração e a Alta Direção
precisam dar o exemplo, aderindo e apoiando ativamente o compliance e o sistema de gestão de
compliance.
Muitas organizações têm uma pessoa dedicada (por exemplo, um gestor de compliance),
responsável pela gestão de compliance no dia a dia, e algumas têm um comitê de compliance
funcional para coordenar o compliance em toda a organização.
Algumas organizações - dependendo do seu porte - também têm alguém com a responsabilidade
geral para a gestão de compliance, embora isso possa ser um papel ou função adicional, incluindo
comitês, unidade organizacional ou elementos terceirizados para especialistas de compliance.
Não convém que isto seja visto como absolvendo outros níveis de gestão das suas responsabilidades
de compliance, já que todos os gestores têm um papel a desempenhar no que diz respeito ao
Nem todas as organizações irão criar uma função de compliance específica, porém algumas podem
atribuir esta função a uma posição existente.
Convém que a função de compliance, trabalhando em conjunto com a direção, seja responsável por:
6 Planejamento
6.1 Ações para abordar os riscos de compliance
Durante o planejamento do sistema de gestão de compliance, convém que a organização considere
as questões referidas em 4.1, os requisitos referidos em 4.2, os princípios da boa governança
referidos em 4.4, as obrigações de compliance identificadas em 4.5 e os resultados da avaliação de
risco de compliance referidos em 4.6 para determinar os riscos de compliance que necessitam ser
abordados para:
— garantir que o sistema de gestão de compliance atinja o(s) seu(s) resultado(s) pretendido(s);
b) como:
d) sejam monitorados;
e) sejam comunicados;
Ao planejar como alcançar seus objetivos de compliance, convém que a organização determine:
— como os resultados serão avaliados, por exemplo, nos termos das medidas-chave de desem-
penho de compliance identificadas e resultados.
7 Apoio
7.1 Recursos
Convém que a organização determine e forneça os recursos necessários para o estabelecimento,
desenvolvimento, implementação, avaliação, manutenção e melhoria contínua do sistema de
gestão de compliance adequado ao seu porte, complexidade, estrutura e operações.
Convém que a Alta Direção e todos os outros níveis de direção assegurem que os recursos neces-
sários sejam implementados de forma eficaz, para assegurar que o sistema de gestão de compliance
atenda aos seus objetivos e que o compliance seja alcançado.
a) determine as competências necessárias do(s) empregado(s) que faz(em) o trabalho sob o seu
controle e que afeta(m) o desempenho do sistema de gestão de compliance;
b) assegure que esses empregados sejam competentes, com base em educação, treinamento
e/ou experiência de trabalho;
c) onde aplicável, tome ações para adquirir a competência necessária e avalie a eficácia das
ações tomadas;
7.2.2 Treinamento
Treinamento bem concebido e executado pode fornecer uma maneira eficaz para os empregados
comunicarem os riscos de compliance anteriormente não identificados.
f) relevantes para o trabalho do dia a dia dos empregados e ilustrativos da indústria, organização
ou setor em questão;
g) suficientemente flexíveis para levar em consideração uma série de técnicas para satisfazer as
diferentes necessidades das organizações e dos empregados;
NOTA Treinamento interativo pode ser a melhor forma de treinamento, se o não cumprimento
puder resultar em consequências graves.
j) registrados e retidos.
— mudanças nas obrigações de compliance, especialmente nos requisitos legais ou das partes
interessadas;
7.3 Conscientização
7.3.1 Generalidades
Convém que as pessoas que executem trabalho sob controle da organização estejam conscientes:
a) da política de compliance;
7.3.2 Comportamento
7.3.2.1 Generalidades
Convém que o comportamento que cria e apoia o compliance seja incentivado e que o comporta-
mento que compromete o compliance não seja tolerado.
EXEMPLO Os exemplos de fatores que irão apoiar o desenvolvimento de uma cultura de compliance
incluem:
— uma ligação clara entre os papéis individuais e a estratégia da organização, refletindo o compliance
como essencial para alcançar os resultados organizacionais;
7.4 Comunicação
7.4.1 Generalidades
b) quando comunicar;
Convém que a organização adote métodos de comunicação adequados para assegurar que a men-
sagem de compliance seja ouvida e compreendida por todos os empregados em uma base contí-
nua. Convém que a comunicação estabeleça claramente a expectativa dos empregados quanto aos
não cumprimentos que são esperados para ser escalados e sob quais circunstâncias e para quem
na organização.
Convém que uma abordagem prática para a comunicação externa, tendo como meta todas as
partes interessadas, seja adotada de acordo com a política da organização.
As partes interessadas podem incluir, mas não estão limitadas a, conselhos de administração,
clientes, contratados, fornecedores, investidores, serviços de emergência, organizações não
governamentais e vizinhança.
NOTA 1 Informação documentada pode incluir assuntos relativos aos requisitos de relatórios
regulamentares.
— formato (por exemplo, linguagem, versão do software, gráficos) e meios (por exemplo, papel,
eletrônicos);
a) ela esteja disponível, acessível e adequada para uso, onde e quando for necessário;
b) ela esteja protegida suficientemente (por exemplo, perda de confidencialidade, uso impróprio
ou perda de integridade).
Para o controle de informação documentada, convém que a organização aborde as seguintes ativi-
dades, como aplicável:
Convém que a informação documentada de origem externa determinada pela organização como
necessária para o planejamento e operação do sistema de gestão de compliance seja identificada,
como apropriado, e controlada.
8 Operação
8.1 Planejamento e controle operacional
Convém que a organização planeje, implemente e controle os processos necessários para atender
às obrigações de compliance e implementar as ações determinadas em 6.1, ao:
São necessários controles eficazes para assegurar que as obrigações de compliance da organização
sejam atendidas e que o não cumprimento seja impedido, ou detectado e corrigido. Convém que
os tipos e níveis de controles sejam projetados com rigor suficiente para facilitar o alcance das
obrigações de compliance que são específicas para as atividades da organização e do ambiente
operacional. Convém que estes controles sejam, sempre que possível, incorporados em processos
organizacionais normais.
EXEMPLO Exemplos de controles incluem:
— aprovações;
— processos automatizados;
Convém que esses controles sejam mantidos, periodicamente avaliados e verificados para
assegurar a sua eficácia contínua.
NOTA BRASILEIRA Entende-se pelo termo due dilligence o processo que tem por finalidade avaliar a
natureza e a extensão dos riscos envolvidos, visando auxiliar a organização na tomada decisão específica
em relação a transações, projetos, atividades, parceiros de negócios e pessoal.
Convém que a organização considere os riscos de compliance relacionados com outros processos
relacionados com o de terceira parte, como o fornecimento de bens e serviços e distribuição de
produtos, e disponha de controles em vigor, conforme necessário (por exemplo, obrigações de
compliance em cláusulas contratuais).
9 Avaliação de desempenho
9.1 Monitoramento, medição, análise e avaliação
9.1.1 Generalidades
Convém que a organização retenha informação documentada apropriada como evidência dos
resultados.
9.1.2 Monitoramento
Convém que o sistema de gestão de compliance seja monitorado para assegurar que o desempenho
de compliance seja alcançado. Convém que um plano de monitoramento contínuo seja estabelecido,
determinando processos de monitoramento, cronogramas, recursos e informações a serem
coletadas.
— eficácia do treinamento;
— casos em que as inspeções internas de compliance não são realizadas como programado.
— não cumprimento e “quase acidentes” (ou seja, incidentes sem efeitos adversos);
Convém que a organização estabeleça, implemente, avalie e mantenha procedimentos para buscar e
receber retroalimentação sobre seu desempenho de compliance de uma série de fontes, incluindo:
— empregados, por exemplo, por meio de instalações de denúncia, linhas telefônicas de apoio,
retroalimentação, caixas de sugestões;
— fornecedores;
— regulamentadores;
— questões de compliance,
Convém que a retroalimentação sirva como uma fonte fundamental de melhoria contínua do
sistema de gestão de compliance.
Existem muitos métodos de coleta de informações. Cada método listado a seguir é relevante
em diferentes circunstâncias e convém que seja tomado cuidado para selecionar a variedade de
ferramentas apropriadas para o porte, escala, natureza e complexidade da organização.
EXEMPLO Exemplos de coleta de informações incluem:
NOTA BRASILEIRA O termo mistery shopping é entendido como a ferramenta utilizada pelas
organizações de diferentes setores para avaliar, medir e testar a qualidade de seus serviços ou aplicação
de normas, definidos pelas próprias organizações, por meio de reunião de informações específicas para
o aprimoramento do serviço ou produto oferecido, utilizando, para tanto, clientes ocultos ou secretos
que simulam ser clientes habituais da organização.
— fonte;
— departamento;
— referência de obrigação;
— indicadores;
— severidade;
Convém que os sistemas de gestão da informação capturem tanto as questões como as reclamações
e permitam a classificação e análise das que dizem respeito ao compliance.
Uma vez que a informação foi coletada, ela precisa ser analisada e avaliada criticamente para
identificar as causas-raiz e as medidas adequadas a serem tomadas. Convém que a análise
considere problemas sistêmicos e recorrentes para retificação ou melhoramento, uma vez que
estes são suscetíveis de acarretar riscos de compliance significativos para a organização e podem
ser mais difíceis de identificar.
— qual tipo de ação corretiva foi tomado para cada não cumprimento.
— consequência de não cumprimento, o que pode incluir a avaliação do impacto resultante da compen-
sação monetária, multas e outras penalidades, custos de reparação, reputação ou custo de tempo dos
empregados;
— riscos de não cumprimento (medidos como potencial de perda/ganho de objetivos (receitas, saúde e
segurança, reputação etc.) ao longo do tempo;
— tendências de não cumprimento (taxa de compliance esperada com base em tendências passadas).
Convém que o órgão regulamentador, a direção e a função de compliance assegurem que eles sejam
eficazmente informados sobre o desempenho do sistema de gestão de compliance da organização
e de sua adequação contínua, incluindo todos os não cumprimentos relevantes, em tempo hábil,
e promovam ativamente o princípio de que a organização incentiva e apoia uma cultura de
comunicação completa e franca. Convém que o regime de relatórios internos assegure que:
f) haja aprovação com relação à precisão dos relatórios ao órgão regulamentador, inclusive pela
função de compliance.
Convém que uma organização escolha um formato, conteúdo e calendário do seu relatório de
compliance interno, que seja adequado às suas circunstâncias, salvo indicação em contrário por lei.
Convém que relatórios de compliance sejam incorporados aos relatórios organizacionais padrão.
Convém que relatórios separados somente sejam preparados para não cumprimentos relevantes
e para questões emergentes.
Todos os não cumprimentos precisam ser devidamente relatados. Enquanto o relato de problemas
sistêmicos e recorrentes é particularmente importante, um não cumprimento pontual pode ser de
igual preocupação, se for relevante ou deliberado. Mesmo uma pequena falha pode indicar séria
fraqueza do processo atual e do sistema de gestão de compliance. Se a falha não for relatada em
tempo hábil, pode levar à visão de que ela não é importante, podendo resultar em um problema
sistêmico.
Convém que os empregados sejam incentivados a responder e relatar o não cumprimento da lei e
outros incidentes de não cumprimento, e que vejam sem medo de retaliação tais relatórios como
uma ação positiva, e não ameaçadora.
b) alterações nas obrigações de compliance, seu impacto sobre a organização e o curso de ação
proposto para atender às novas obrigações;
Convém que os registros sejam armazenados de uma forma que assegurem que eles permaneçam
legíveis, prontamente identificáveis e recuperáveis.
Convém que estes registros sejam protegidos contra qualquer adição, exclusão, alteração, uso não
autorizado ou ocultação.
Os registros do sistema de gestão de compliance da organização podem incluir:
— assegure que os resultados das auditorias sejam relatados para a direção pertinente;
e) mudanças em questões externas e internas que sejam pertinentes para o sistema de gestão
de compliance;
Convém que os resultados da análise crítica pela direção incluam decisões relacionadas às
oportunidades de melhoria contínua e qualquer necessidade de mudanças no sistema de gestão
de compliance.
e) lacunas ou falhas nos sistemas de compliance atuais e iniciativas de melhoria contínua a longo
prazo;
© ISO 2014 - Todos os direitos reservados 31
Convém que a organização retenha a informação documentada como evidência dos resultados
das análises críticas pela direção e que uma cópia seja fornecida para o órgão regulamentador.
10 Melhoria
10.1 Não conformidade, não cumprimento e ação corretiva
10.1.1 Generalidades
Quando uma não conformidade e/ou não cumprimento ocorre, convém que a organização:
— gerencie as consequências;
A falha em prevenir ou detectar um não cumprimento pontual não significa necessariamente que
o sistema de gestão de compliance não seja geralmente eficaz na prevenção e detecção de não
cumprimentos.
Convém que as ações corretivas sejam apropriadas aos efeitos das não conformidades e/ou não
cumprimentos encontrados. Convém que a organização retenha a informação documentada como
evidência de:
— natureza das não conformidades e/ou não cumprimento e quaisquer ações tomadas subse-
quentemente;
Informações da análise de não conformidade e/ou não cumprimento podem ser usadas para
considerar:
— reciclagem de empregados;
10.1.2 Escalonamento
Quando for requerido por lei que as organizações relatem o não cumprimento, as autoridades
regulamentadoras precisam ser informadas de acordo com os regulamentos aplicáveis ou
conforme acordado.
Mesmo que as organizações não sejam obrigadas por lei a relatar o não cumprimento, elas podem
considerar a autodivulgação voluntária do não cumprimento às autoridades regulamentadoras
para mitigar as consequências do não cumprimento.
Convém que um sistema de gestão de compliance eficiente inclua um mecanismo para os empregados
de uma organização e/ou outras pessoas relatarem suspeitas de má conduta ou violações das
obrigações de compliance da organização, de forma confidencial e sem medo de retaliação.
Bibliografia
[2] ISO 10002, Quality management — Customer satisfaction — Guidelines for complaints handling
in organizations
[3] ISO 14001, Environmental management systems — Requirements with guidance for use
[5] ISO 22000, Food safety management systems — Requirements for any organization in the food
chain