ISO 19600

ISO 19600
Sistema de gestão
de compliance
Diretrizes
Publicada
Junho/2016
ISBN 978-85-07-06228-8
Document shared on www.docsity.com

Downloaded by: luiz-breim-2 (breim@breim.med.br)
NORMA ISO
INTERNACIONAL 19600
Primeira edição
15-12-2014
Sistema de gestão de compliance — Diretrizes
ICS 03.100.01
Número de referência
ISO 19600:2014
34 páginas
© ISO 2014

ISO 19600:2014
Sumário Página
Prefácio ............................................................................................................................................................ iv
Introdução........................................................................................................................................................ v
1 Escopo ............................................................................................................................................. 1
2 Referências normativas ............................................................................................................ 1
3 Termos e definições ................................................................................................................... 1
4 Contexto da organização .......................................................................................................... 6
4.1 Entendendo a organização e seu contexto .......................................................................... 6
4.2 Entendendo as necessidades e expectativas das partes interessadas .................... 6
4.3 Determinando o escopo do sistema de gestão de compliance .................................... 6
4.4 Sistema de gestão de compliance e princípios de boa governança........................... 6
4.5 Obrigações de compliance .......................................................................................................... 7
4.6 Identificação, análise e avaliação dos riscos de compliance ........................................ 8
5 Liderança ....................................................................................................................................... 9
5.1 Liderança e comprometimento................................................................................................ 9
5.2 Política de compliance ............................................................................................................... 10
5.3 Papéis, responsabilidades e autoridades organizacionais ........................................ 12
6 Planejamento .............................................................................................................................16
6.1 Ações para abordar os riscos de compliance................................................................... 16
6.2 Objetivos de compliance e planejamento para alcançá-los ....................................... 16
7 Apoio .............................................................................................................................................17
7.1 Recursos ..........................................................................................................................17
7.2 Competência e treinamento ........................................................................................17
7.3 Conscientização .............................................................................................................19
7.4 Comunicação ..................................................................................................................21
7.5 Informação documentada............................................................................................21
8 Operação ......................................................................................................................................23
8.1 Planejamento e controle operacional ............................................................................... 23
8.2 Estabelecendo controles e procedimentos ..................................................................... 23
8.3 Processos terceirizados............................................................................................................ 24
9 Avaliação de desempenho .....................................................................................................25
9.1 Monitoramento, medição, análise e avaliação ................................................................ 25
9.2 Auditoria ......................................................................................................................................... 30
9.3 Análise crítica pela direção ..................................................................................................... 31
10 Melhoria .......................................................................................................................................32
10.1 Não conformidade, não cumprimento e ação corretiva ............................................. 32
10.2 Melhoria contínua....................................................................................................................... 33
Bibliografia ....................................................................................................................................................34
© ISO 2014 - Todos os direitos reservados iii

ISO 19600:2014
Prefácio
A International Organization for Standardization (ISO) é uma federação mundial de órgãos nacionais
de normalização (órgãos membros da ISO). O trabalho de preparação de Normas Internacionais
é normalmente realizado pelos Comitês Técnicos da ISO. Cada órgão membro interessado em
um assunto para o qual foi estabelecido um Comitê Técnico tem o direito de ser representado
neste Comitê. As organizações internacionais, governamentais e não governamentais, em ligação
com a ISO, também participam no trabalho. A ISO colabora estreitamente com a International
Electrotechnical Commission (IEC) em todos os assuntos de normalização eletrotécnica.
Os procedimentos usados para desenvolver este documento e os destinados à sua posterior

manutenção são descritos na Diretiva ISO/IEC, Parte 1. Particularmente, convém que os diferentes
critérios de aprovação necessários para os diferentes tipos de documentos ISO sejam observados.
Este documento foi elaborado em conformidade com as regras editoriais da ISO/IEC Directives,
Part 2 (ver www.iso.org/directives).
Chama-se a atenção para a possibilidade de que alguns dos elementos deste documento podem
ser objeto de direitos de patente. A ISO não pode ser responsabilizada por identificação de
quaisquer direitos de patentes. Os detalhes de quaisquer direitos de patente identificados durante
o desenvolvimento do documento estarão na Introdução e/ou na lista ISO de declarações de
patentes recebidas (ver www.isso.org/patents).
Qualquer nome comercial usado neste documento é uma informação dada para a conveniência
dos usuários e não constitui um endosso por parte da ISO.
Para obter uma explicação sobre o significado de termos específicos ISO e expressões
relacionadas à avaliação da conformidade, bem como informações sobre a adesão da ISO
aos princípios da OMC sobre Barreiras Técnicas ao Comércio (BTC), consultar a seguinte
URL: http://www.iso.org/iso/foreword
O Comitê responsável por este documento é o Comitê de Projeto ISO/PC 271, Sistemas de Gestão
de Compliance.
Esta versão em portugês foi publicada em 10.06.2016.
iv © ISO 2014 - Todos os direitos reservados

ISO 19600:2014
Introdução
As organizações que pretendem ser bem-sucedidas em longo prazo precisam manter uma cultura
de integridade e �ompliance, bem como considerar as necessidades e expectativas das partes
interessadas. Portanto, integridade e compliance não somente são a base, mas também uma
oportunidade para uma organização sustentável e bem-sucedida.
O compliance é a consequência de uma organização cumprir as suas obrigações, e é feito de forma

sustentável, incorporando-o na cultura da organização e no comportamento e atitude de pessoas
que trabalham para ela. Apesar de manter a sua independência, é preferível que a gestão de
compliance seja integrada aos processos de gestão financeira, de risco, da qualidade, ambiental,
de saúde e segurança da organização e aos seus requisitos e procedimentos operacionais.
Um sistema de gestão de compliance eficaz abrangendo toda a organização permite que uma
organização demonstre seu comprometimento com o cumprimento das leis pertinentes, incluindo
requisitos legislativos, códigos da indústria e normas organizacionais, bem como as normas de
boa governança corporativa, boas práticas, ética e expectativas da comunidade.
A abordagem de uma organização quanto ao compliance é idealmente moldada pela liderança

ao aplicar valores fundamentais de governança corporativa e padrões éticos e comunitários
geralmente aceitos. Incorporar o compliance no comportamento das pessoas que trabalham para
uma organização depende, sobretudo, da liderança em todos os níveis e da transparência dos
valores de uma organização, bem como de um reconhecimento e implementação de medidas para
promover um comportamento compatível. Se não for assim em todos os níveis de uma organização,
existe o risco de não cumprimento.
Em muitas jurisdições, os tribunais têm considerado o comprometimento de uma organização com

o compliance por meio de seu sistema de gestão de compliance, ao determinar a sanção adequada
a ser aplicada por infrações à legislação pertinente. Portanto, os órgãos regulamentadores e
judiciais também podem se beneficiar desta Norma Internacional como referência.
As organizações estão cada vez mais convencidas de que, por meio da aplicação de valores
acordados e gestão de compliance apropriada, elas podem salvaguardar a sua integridade e evitar
ou minimizar o não cumprimento da lei. Assim, a integridade e o compliance efetivos são elementos-
chave de uma boa e diligente gestão. O compliance também contribui para o comportamento
socialmente responsável das organizações.
Esta Norma Internacional não especifica os requisitos, mas fornece diretrizes sobre sistemas
de gestão de compliance e práticas recomendadas. A orientação desta Norma Internacional,
no sentido de ser adaptável, e o uso desta diretriz podem ser diferentes, dependendo do porte e do
nível de maturidade do sistema de gestão de compliance da organização e do contexto, natureza e
complexidade das atividades da organização, incluindo a sua política e os objetivos de compliance.
O fluxograma da Figura 1 é consistente com outros sistemas de gestão e se baseia no princípio de

melhoria contínua (“Plan-Do-Check-Act”).
© ISO 2014 - Todos os direitos reservados v

ISO 19600:2014
Identificação de
questões externas e
Estabelecer
internas (4.1) Determinação do escopo
e estabelecimento do Princípios de boa
sistema de gestão de governança (4.4)
compliance (4.3/4.4)
Identificação dos
requisitos das partes
interessadas (4.2)
Estabelecimento da
política de compliance
Identificação de obrigações
de compliance e avaliação
de riscos de compliance
Manter Desenvolver
Comprometimento da
liderança, independência Planejamento para
Gestão de não
da função compliance (5.1), abordar riscos de
cumprimentos e da
responsabilidades em compliance e alcançar
melhoria contínua (10)
todos os níveis (5.3). objetivos (6)
Funções de suporte (7)
Melhorar
Avaliar Implementar
Avaliação de Planejamento
desempenho e operacional e
relatório de controle dos riscos
compliance (9) de compliance (8)
Figura 1 – Fluxograma de um sistema de gestão de compliance
Esta Norma Internacional adotou a “estrutura de alto nível” (ou seja, sequência de seções, texto
e terminologia comuns), desenvolvida pela ISO para melhorar o alinhamento entre as suas Normas
Internacionais para sistemas de gestão. Além da sua orientação genérica sobre um sistema de
gestão de compliance, esta Norma Internacional também fornece uma estrutura para ajudar na
implementação de requisitos específicos relacionados ao compliance em qualquer sistema de
gestão.
As organizações que não adotaram normas de sistemas de gestão ou uma estrutura de gestão de
compliance podem facilmente adotar esta Norma Internacional como diretriz autônoma dentro
da sua organização.
Esta Norma Internacional é adequada para ampliar os requisitos relacionados ao compliance em
outros sistemas de gestão e para ajudar uma organização na melhoria da gestão global de todas as
suas obrigações de compliance.
Esta Norma Internacional pode ser combinada com normas de sistemas de gestão existentes (por
exemplo, ISO 9001, ISO 14001, ISO 22000) e diretrizes genéricas (por exemplo, ISO 31000, ISO 26000).
vi © ISO 2014 - Todos os direitos reservados

NORMA INTERNACIONAL ISO 19600:2014
Sistema de gestão de compliance — Diretrizes
1 Escopo
Esta Norma Internacional fornece orientações para o estabelecimento, desenvolvimento, imple-
mentação, avaliação, manutenção e melhoria do sistema de gestão de compliance de forma efetiva
e ágil em uma organização.
As diretrizes relativas aos sistemas de gestão de compliance são aplicáveis a todos os tipos de
organizações. A extensão da aplicação destas diretrizes depende do porte, estrutura, natureza
e complexidade da organização. Esta Norma Internacional é baseada nos princípios da boa gover-
nança, proporcionalidade, transparência e sustentabilidade.
2 Referências normativas
Não há referências normativas.
3 Termos e definições
Para os efeitos deste documento, aplicam-se os seguintes termos e definições.
3.1
organização
pessoa ou grupo de pessoas com suas próprias funções, com responsabilidades, autoridades
e relações para atingir seus objetivos (3.9)
NOTA O conceito de organização inclui, mas não é limitado a, empreendedor individual, companhia,
corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação
destas, sejam elas incorporadas ou não, públicas ou privadas.
3.2
parte interessada (termo preferido)
stakeholder (termo admitido)
pessoa ou organização (3.1) que pode afetar, ser afetada ou se perceber afetada por uma decisão
ou atividade
3.3
Alta Direção
pessoa ou grupo de pessoas que dirige e controla uma organização (3.1) no nível mais alto
NOTA 1 A Alta Direção tem o poder de delegar autoridade e fornecer recursos na organização.
NOTA 2 Se o objetivo do sistema de gestão (3.7) cobrir apenas parte de uma organização, então a Alta
Direção se refere àqueles que dirigem e controlam aquela parte da organização.
3.4
conselho de administração
pessoa ou grupo de pessoas que dirige uma organização (3.1), define orientações e a quem a Alta
Direção (3.3) presta contas
© ISO 2014 - Todos os direitos reservados 1

ISO 19600:2014
3.5
empregado
indivíduo em um relacionamento reconhecido como uma relação de trabalho em uma lei ou prática
nacional
3.6
função de compliance
pessoa(s) com a responsabilidade da gestão de compliance (3.17)
NOTA De preferência, um indivíduo será designado responsável geral pela gestão de compliance (3.17).
3.7
sistema de gestão
conjunto de elementos inter-relacionados ou interativos de uma organização (3.1), para estabelecer
políticas (3.8), objetivos (3.9) e processos (3.10) para atingir estes objetivos
NOTA 1 Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas.
NOTA 2 Os elementos do sistema incluem a estrutura da organização, papéis e responsabilidades,

planejamento, operação etc.
NOTA 3 O escopo de um sistema de gestão pode incluir a totalidade da organização, funções específicas
e identificadas da organização, seções específicas e identificadas da organização, ou uma ou mais
funções executadas por um grupo de organizações.
3.8
política
intenções e direção de uma organização (3.1), como formalmente expressas pela sua Alta Direção (3.3)
3.9
objetivo
resultado a ser atingido
NOTA 1 Um objetivo pode ser estratégico, tático e/ou operacional.
NOTA 2 Objetivos podem se relacionar a diferentes disciplinas (como finanças, saúde e segurança,
e metas ambientais) e podem se referir a diferentes níveis (como estratégico, de toda a organização,
projeto, produto e processo (3.10)).
NOTA 3 Um objetivo pode ser expresso de outras formas, como, por exemplo, como um resultado
pretendido, um propósito, um critério operacional, um objetivo de compliance ou pelo uso de outras
palavras com significado semelhante (por exemplo, finalidade, meta ou alvo).
NOTA 4 No contexto dos sistemas de gestão de compliance, os objetivos de compliance são definidos
pela organização, de acordo com a política de compliance, para alcançar os resultados específicos.
3.10
processo
conjunto de atividades inter-relacionadas ou interativas que transforma entradas em saídas
3.11
risco
efeito da incerteza sobre os objetivos (3.9)
NOTA 1 Um efeito é um desvio do esperado – positivo ou negativo.
2 © ISO 2014 - Todos os direitos reservados

ISO 19600:2014
NOTA 2 A incerteza é o estado, ainda que parcial, de deficiência de informação de compreensão ou

conhecimento, relacionado a um evento, sua consequência ou probabilidade.
NOTA 3 O risco é frequentemente caracterizado pela referência a “eventos” em potencial (como definido
no ISO Guide 73:2009, 3.5.1.3) e “consequências” (conforme definido no ISO Guide 73:2009, 3.6.1.3),
ou uma combinação destes.
NOTA 4 O risco é frequentemente expresso em termos de uma combinação das consequências de

um evento (incluindo mudanças nas circunstâncias) e da “probabilidade” associada (como definido no
ISO Guide 73:2009, 3.6.1.1) de ocorrência.
3.12
risco de compliance
efeito da incerteza sobre os objetivos (3.9) de compliance
NOTA Risco de compliance pode ser caracterizado pela probabilidade de ocorrência e pelas
consequências de não cumprimento (3.18) com as obrigações de compliance (3.16) da organização.
3.13
requisito
necessidade ou expectativa que é declarada, geralmente implícita ou obrigatória
NOTA 1 “Geralmente implícita” significa que é costume ou prática comum para a organização e para
as partes interessadas que a necessidade ou expectativa sob consideração seja implícita.
NOTA 2 Um requisito especificado é aquele que é declarado, por exemplo, em informação documentada.
3.14
requisito de compliance
requisito (3.13) que uma organização (3.1) tem que cumprir
3.15
comprometimento de compliance
requisito (3.13) que uma organização (3.1) decide cumprir
3.16
obrigação de compliance
requisito de compliance (3.14) ou comprometimento de compliance (3.15)
3.17
compliance
atendimento a todas as obrigações de compliance (3.16) da organização
NOTA O compliance torna-se sustentado quando incorporado na cultura de uma organização (3.1),
bem como no comportamento e na atitude de pessoas que trabalham para ela.
NOTA BRASILEIRA O entendimento comumente disseminado para o termo compliance é de que

se trata do conjunto de mecanismos tendentes ao cumprimento de normas legais e regulamentares,
políticas e diretrizes estabelecidas para o negócio e para as atividades da organização. O compliance visa
a prevenir, detectar e sanar todo e qualquer desvio ou não cumprimento que ocorra.
3.18
não cumprimento
não cumprimento de uma obrigação de compliance (3.16)

ISO 19600:2014
NOTA O não cumprimento pode ser um evento único ou múltiplo e pode ou não resultar de uma não
compliance (3.33).
3.19
cultura de compliance
valores, ética e crenças que existem em toda a organização (3.1) e interagem com as estruturas da
organização e sistemas de controle, para produzir normas de comportamento que são favoráveis
aos resultados de compliance (3.17)
3.20
código
declaração de práticas desenvolvidas internamente ou por um órgão internacional, nacional ou
industrial, ou outra organização (3.1)
NOTA O código pode ser obrigatório ou voluntário.
3.21
normas organizacionais e empresariais
códigos (3.20), boas práticas, estatutos, normas técnicas e industriais documentados, considerados
pertinentes por uma organização (3.1)
3.22
autoridade regulamentadora
organização (3.1) responsável por regulamentar ou exigir compliance (3.17) com os requisitos
(3.13) legislativos e outros requisitos
3.23
competência
capacidade de aplicar conhecimentos e habilidades para alcançar os resultados pretendidos
3.24
informação documentada
informação requerida para ser controlada e mantida por uma organização (3.1) e pelo meio no
qual ela está contida
NOTA 1 Informação documentada pode estar em qualquer formato ou meio e proveniente de qualquer
fonte.
NOTA 2 Informação documentada pode se referir a:
— sistema de gestão (3.7), incluindo processos (3.10) relacionados;
— informação criada para que a organização opere (documentação);
— evidência de resultados alcançados (registros).
3.25
procedimento
forma especificada de executar uma atividade ou um processo (3.10)
3.26
desempenho
resultado mensurável

ISO 19600:2014
NOTA 1 Desempenho pode se relacionar tanto a constatações quantitativas quanto qualitativas.
NOTA 2 Desempenho pode se relacionar à gestão das atividades, processos (3.10), produtos (incluindo
serviços), sistemas ou organizações (3.1).
3.27
melhoria contínua
atividade recorrente ou processo (3.10) para aumentar o desempenho (3.26)
3.28
terceirizar (verbo)
fazer um arranjo onde uma organização (3.1) externa desempenha parte de uma função ou
processo (3.10) de uma organização
NOTA Uma organização externa está fora do sistema de gestão (3.7), embora a função terceirizada
ou processo esteja dentro do escopo.
3.29
monitoramento
determinação da situação de um sistema, um processo (3.10) ou uma atividade
NOTA 1 Para determinar a situação, pode haver necessidade de verificar, supervisionar ou observar
criticamente.
NOTA 2 O monitoramento não é uma atividade que ocorre uma só vez, mas um processo de observação
regular ou contínua de uma situação.
3.30
medição
processo (3.10) para determinar um valor
3.31
auditoria
processo (3.10) sistemático, independente e documentado para obter evidência de auditoria e para
avaliá-la objetivamente, para determinar a extensão na qual os critérios de auditoria são atendidos
NOTA 1 Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa
(segunda parte ou terceira parte), e pode ser uma auditoria combinada (combinando duas ou mais
disciplinas).
NOTA 2 “Evidência de auditoria” e “critérios de auditoria” são definidos na ISO 19011.
NOTA 3 A independência pode ser demonstrada pela ausência de responsabilidade em relação à

atividade que está sendo auditada ou pela ausência de preconceitos e conflitos de interesse.
3.32
conformidade
atendimento a um requisito (3.13) do sistema de gestão
3.33
não conformidade
não atendimento a um requisito (3.13) do sistema de gestão
NOTA A não conformidade não é necessariamente um não cumprimento (3.18).

ISO 19600:2014
3.34
correção
ação para eliminar uma não conformidade (3.33) identificada ou um não cumprimento (3.18)
3.35
ação corretiva
ação para eliminar a causa de uma não conformidade (3.33) ou um não cumprimento (3.18), e para
prevenir a recorrência
4 Contexto da organização
4.1 Entendendo a organização e seu contexto
Convém que a organização determine as questões externas e internas, como as relacionadas aos
riscos de compliance, que são pertinentes para a sua finalidade e que afetam sua capacidade de
atingir o(s) resultado(s) pretendido(s) de seu sistema de gestão de compliance. Ao fazer isto,
convém que a organização considere uma ampla série de aspectos externos e internos, como os
contextos regulamentares, sociais e culturais, a situação econômica e as políticas, procedimentos,
processos e recursos internos.
4.2 Entendendo as necessidades e expectativas das partes interessadas

Convém que a organização determine:
— as partes interessadas que são pertinentes ao sistema de gestão de compliance;
— os requisitos destas partes interessadas.

4.3 Determinando o escopo do sistema de gestão de compliance
Convém que a organização determine os limites e a aplicabilidade do sistema de gestão de compliance
para estabelecer o seu escopo.
NOTA O escopo do sistema de gestão de compliance é destinado a esclarecer os limites geográficos
e/ou organizacionais aos quais se aplica o sistema de gestão de compliance, especialmente se a organização
for parte de uma organização maior em determinado local.
Ao determinar esse escopo, convém que a organização considere:
— as questões externas e internas referidas em 4.1;
— os requisitos referidos em 4.2 e 4.5.1.
Convém que o escopo esteja prontamente disponível como informação documentada.
4.4 Sistema de gestão de compliance e princípios de boa governança

Convém que a organização estabeleça, desenvolva, implemente, avalie, mantenha e melhore conti-
nuamente um sistema de gestão de compliance, incluindo os processos necessários e suas intera-
ções, de acordo com esta Norma Internacional, levando em consideração os seguintes princípios
de governança:
— acesso direto da função de compliance ao órgão regulamentador;

ISO 19600:2014
— independência da função de compliance;
— autoridade apropriada e recursos adequados alocados à função de compliance.
Convém que o sistema de gestão de compliance reflita os valores, objetivos, estratégia e riscos de
compliance da organização.
4.5 Obrigações de compliance

4.5.1 Identificação das obrigações de compliance
Convém que a organização identifique sistematicamente as suas obrigações de compliance e suas

implicações para as suas atividades, produtos e serviços. Convém que a organização leve estas
obrigações em consideração no estabelecimento, desenvolvimento, implementação, avaliação,
manutenção e melhoria do sistema de gestão de compliance.
Convém que a organização documente suas obrigações de compliance de forma apropriada ao seu
porte, complexidade, estrutura e operações.
Convém que fontes de obrigações de compliance incluam requisitos de compliance e possam

incluir comprometimento de compliance.
EXEMPLO 1 Exemplos de requisitos de compliance incluem:
— leis e regulamentos;
— permissões, licenças ou outras formas de autorização;
— ordens, regras ou diretrizes emitidas pelas agências reguladoras;
— decisões de tribunais de justiça ou tribunais administrativos;
— tratados, convenções e protocolos.
EXEMPLO 2 Exemplos de comprometimento de compliance incluem:
— acordos com grupos comunitários ou organizações não governamentais;
— acordos com as autoridades públicas e os clientes;
— requisitos organizacionais, como as políticas e os procedimentos;
— princípios voluntários ou códigos de prática;
— rotulagem voluntária ou compromissos ambientais;
— obrigações decorrentes de acordos contratuais com a organização;
— normas organizacionais e industriais pertinentes.

ISO 19600:2014
4.5.2 Manutenção das obrigações de compliance
Convém que as organizações disponham de processos para identificar novas leis e alterações de
leis, regulamentos, códigos e outras obrigações de compliance para assegurar a sua continuidade.
Convém que as organizações tenham processos para avaliar o impacto das mudanças identificadas
e para implementar quaisquer mudanças na gestão das obrigações de compliance.
EXEMPLO Exemplos de processos para a obtenção de informações sobre as alterações às leis e
outras obrigações de compliance incluem:
— estar nas listas de distribuição de destinatários de regulamentadores pertinentes;
— participar de grupos profissionais;
— subscrever serviços de informação pertinentes;
— participar de fóruns e seminários empresariais;
— monitorar os sites dos regulamentadores;
— reunir-se com os regulamentadores;
— contatar assessores jurídicos;
— monitorar as fontes das obrigações de compliance (por exemplo, declarações de regulamentação e

decisões judiciais).
4.6 Identificação, análise e avaliação dos riscos de compliance

Convém que a organização identifique e avalie os seus riscos de compliance. Esta avaliação pode
ser baseada em uma avaliação formal do risco de compliance ou conduzida por abordagens
alternativas. A avaliação do risco de compliance constitui a base para a implementação do sistema
de gestão de compliance e para a alocação planejada de recursos e processos apropriados e
adequados para gerir os riscos de compliance identificados.
Convém que a organização identifique os riscos de compliance, relacionando as suas obrigações

de compliance às suas atividades, produtos, serviços e aspectos pertinentes de suas operações, a
fim de identificar situações em que pode ocorrer o não cumprimento. Convém que a organização
identifique as causas e consequências do não cumprimento.
Convém que a organização analise os riscos de compliance, considerando as causas e fontes de

não cumprimento e a gravidade de suas consequências, bem como a probabilidade de que os não
cumprimentos e consequências associadas possam ocorrer. As consequências podem incluir, por
exemplo, danos pessoais e ambientais, perda econômica, danos à sua reputação e responsabilidade
civil administrativa.
A avaliação de riscos envolve a comparação do nível de risco de compliance encontrado durante

o processo de análise com o nível de risco de compliance que a organização pode e está disposta
a aceitar. Com base nesta comparação, as prioridades podem ser definidas como uma base para
determinar a necessidade de implementação de controles e a extensão destes controles (ver 6.1).
Convém que os riscos de compliance sejam reavaliados periodicamente e sempre que houver:
— atividades, produtos ou serviços novos ou alterados;

ISO 19600:2014
— alterações na estrutura ou na estratégia da organização;
— mudanças externas significativas, como circunstâncias econômico-financeiras, condições de

mercado, passivos e relacionamento com o cliente;
— alterações em obrigações de compliance (ver 4.5);
— não cumprimento(s).
NOTA 1 A extensão e o nível de detalhes da avaliação do risco de compliance dependem da situação de
risco, do contexto, do porte e dos objetivos da organização, e podem variar para as subáreas específicas
(por exemplo, meio ambiente, finanças, social).
NOTA 2 A abordagem baseada no risco para a gestão de compliance não significa que, para situações de
baixo risco de compliance, o não cumprimento seja aceito pela organização. Ela auxilia as organizações a
focarem a atenção e os recursos primários nos riscos mais elevados como uma prioridade e, finalmente,
irá cobrir todos os riscos de compliance. Todos os riscos/situações de compliance identificados estão
sujeitos a monitoramento, correção e ação corretiva.
NOTA 3 A ISO 31000 fornece orientações detalhadas sobre a avaliação de riscos.
5 Liderança
5.1 Liderança e comprometimento
Convém que o conselho de administração e a Alta Direção demonstrem liderança e comprometi-
mento com relação ao sistema de gestão de compliance por:
a) estabelecer e defender os valores fundamentais da organização;
b) assegurar que os objetivos e a política de compliance sejam estabelecidos e consistentes com

os valores, objetivos e direcionamento estratégico da organização (ver 6.2);
c) assegurar que as políticas, procedimentos e processos sejam desenvolvidos e implementados

para atingir os objetivos de compliance;
d) assegurar que os recursos necessários para o sistema de gestão de compliance estejam

disponíveis, reservados e atribuídos;
e) assegurar a integração dos requisitos do sistema de gestão de compliance aos processos do

negócio da organização;
f) comunicar a importância de um sistema de gestão de compliance eficaz e a importância da

conformidade nos requisitos do sistema de gestão de compliance;
g) dirigir e apoiar as pessoas que contribuem para a eficácia do sistema de gestão de compliance;
h) apoiar outros papéis de gestão pertinentes para demonstrar à sua liderança como se aplicam
as suas áreas de responsabilidade de compliance;
i) assegurar o alinhamento entre as metas operacionais e as obrigações de compliance;
j) estabelecer e manter mecanismos de responsabilização por prestar contas, incluindo o relato

tempestivo sobre assuntos de compliance, inclusive o não cumprimento;

ISO 19600:2014
k) assegurar que o sistema de gestão de compliance atinja o(s) seu(s) resultado(s) pretendido(s);
l) promover melhoria contínua.

EXEMPLO Um compliance eficaz requer um comprometimento ativo do órgão de controle e da Alta
Direção, que permeie toda a organização. O nível de comprometimento é indicado pelo grau em que:
— o órgão regulamentador e todos os níveis da administração demonstrem ativamente o

comprometimento em estabelecer, desenvolver, implementar, avaliar, manter e melhorar um sistema
de gestão de compliance eficaz e ágil por meio de suas ações e decisões;
— a política de compliance seja formalmente aprovada pelo órgão regulamentador;
— a Alta Direção assuma a responsabilidade por assegurar que o comprometimento com o compliance
da organização seja realizado plenamente;
— todos os níveis de gestão consistentemente transmitam uma mensagem clara (demonstrada por pala-
vras e ações) para os empregados de que a organização irá atender às suas obrigações de compliance;
— o comprometimento de compliance seja comunicado amplamente em declarações claras e convincentes,

apoiadas por ação;
— a função de compliance seja dada a um nível de autoridade que reflita a importância do compliance
efetivo e tenha acesso direto ao órgão regulamentador;
— os recursos sejam alocados para o estabelecimento, desenvolvimento, implementação, avaliação,

manutenção e melhoria de uma cultura sólida de compliance, por meio de atividades de conscientização
e treinamento;
— políticas, procedimentos e processos reflitam não apenas os requisitos legais, mas também códigos
voluntários e valores fundamentais da organização;
— a organização atribua e requeira a responsabilização por prestar contas à direção do compliance em

todos os níveis da organização;
— seja necessária uma análise crítica regular do sistema de gestão de compliance;
— o desempenho de compliance da organização seja continuamente melhorado;
— ações corretivas sejam adotadas.
5.2 Política de compliance

5.2.1 Generalidades
Convém que o conselho de administração e a Alta Direção, de preferência em consulta com os

empregados, estabeleçam uma política de compliance que
— seja apropriada ao propósito da organização;
— forneça uma estrutura para definir os objetivos de compliance;
— inclua um comprometimento para satisfazer os requisitos aplicáveis;
— inclua um comprometimento de melhoria contínua do sistema de gestão de compliance.

ISO 19600:2014
Convém que a política de compliance articule:
— o escopo do sistema de gestão de compliance;
— a aplicação e o contexto do sistema em relação ao porte, natureza e complexidade da

organização e seu ambiente operacional;
— a extensão à qual o compliance será integrado com outras funções, como governança, risco,
auditoria e departamento jurídico;
— o grau em que o compliance será incorporado nas políticas operacionais, procedimentos e

processos;
— o grau de independência e autonomia da função de compliance;
— a responsabilidade para gerenciar e relatar questões de compliance;
— os princípios a partir dos quais as relações com as partes interessadas internas e externas
serão gerenciadas;
— o padrão de conduta e a responsabilização por prestar contas requeridos;
— as consequências do não cumprimento.
Convém que a política de compliance:
— esteja disponível como informação documentada;
— seja escrita em linguagem simples para que todos os empregados possam facilmente
compreender os princípios e intenções;
— seja traduzida para outras línguas, se necessário;
— seja comunicada claramente dentro da organização e seja prontamente disponibilizada para

todos os empregados;
— esteja disponível para as partes interessadas, conforme apropriado;
— seja atualizada, conforme requerido, para assegurar que ela permaneça relevante.
Convém que a política de compliance seja estabelecida em alinhamento com os valores, os objetivos
e a estratégia da organização, e seja aprovada pelo conselho de administração.
A política de compliance estabelece os princípios globais e o comprometimento com a ação para

uma organização atingir o compliance. Ela define o nível de responsabilidade e o desempenho
necessários, bem como as expectativas para as ações que serão avaliadas. Convém que a política
seja adequada às obrigações de compliance da organização, decorrentes de suas atividades.
Não convém que a política de compliance seja um documento autônomo, mas convém que seja apoiada
por outros documentos, incluindo as políticas operacionais, os procedimentos e os processos.

ISO 19600:2014
5.2.2 Desenvolvimento
No desenvolvimento da política de compliance, convém considerar:
a) obrigações internacionais, regionais ou locais específicas;
b) estratégia, objetivos e valores da organização;
c) estrutura e quadro de governança da organização;
d) natureza e nível de risco associado ao não cumprimento;
e) outras políticas, normas e códigos internos.
5.3 Papéis, responsabilidades e autoridades organizacionais

5.3.1 Generalidades
Convém que a Alta Direção assegure que as responsabilidades e autoridades dos papéis pertinentes
sejam atribuídas e comunicadas dentro da organização.
Convém que o conselho de administração e a Alta Direção atribuam a responsabilidade e a auto-

ridade para a função de compliance para:
a) assegurar que o sistema de gestão de compliance seja consistente com esta Norma Internacional;
b) relatar o desempenho do sistema de gestão de compliance para o órgão regulamentador e a

Alta Direção.
NOTA As atribuições específicas da função de compliance não isentam outros empregados de res-
ponsabilidades para relatar a respeito de compliance que possa existir.
5.3.2 Atribuição de responsabilidade pelo compliance na organização
A participação ativa e a supervisão do conselho de administração e da Alta Direção são parte integrante
de um sistema de gestão de compliance efetivo. Isso ajuda a assegurar que os empregados entendam
plenamente a política da organização e os procedimentos operacionais, e como estes se aplicam
aos seus postos de trabalho, para que eles realizem as obrigações de compliance de forma eficaz.
Para um sistema de gestão de compliance ser eficaz, o conselho de administração e a Alta Direção
precisam dar o exemplo, aderindo e apoiando ativamente o compliance e o sistema de gestão de
compliance.
Muitas organizações têm uma pessoa dedicada (por exemplo, um gestor de compliance),
responsável pela gestão de compliance no dia a dia, e algumas têm um comitê de compliance
funcional para coordenar o compliance em toda a organização.
Algumas organizações - dependendo do seu porte - também têm alguém com a responsabilidade
geral para a gestão de compliance, embora isso possa ser um papel ou função adicional, incluindo
comitês, unidade organizacional ou elementos terceirizados para especialistas de compliance.
Não convém que isto seja visto como absolvendo outros níveis de gestão das suas responsabilidades
de compliance, já que todos os gestores têm um papel a desempenhar no que diz respeito ao

ISO 19600:2014
sistema da gestão de compliance. Portanto, é importante que as respectivas responsabilidades

sejam claramente definidas e incluídas em suas descrições de trabalho.
As responsabilidades dos gestores de compliance irão, por necessidade, variar de acordo com
os níveis de autoridade, influência e outros fatores, como a natureza e o porte da organização.
No entanto, algumas responsabilidades são suscetíveis de serem comuns em uma variedade de
organizações.
NOTA Esta Norma Internacional não faz distinção entre o conceito de responsabilidade e o de res-
ponsabilização por prestar contas. A responsabilização por prestar contas está implícita no uso do
termo “responsabilidade”.
5.3.3 Papel e responsabilidade do conselho de administração e da Alta Direção

Convém que o conselho de administração e a Alta Direção:
a) estabeleçam uma política de compliance de acordo com 5.2.2;
b) assegurem que o comprometimento com o compliance seja mantido e que o não cumprimento
e o comportamento incompatíveis sejam tratados de forma adequada;
c) incluam responsabilidades de compliance em tomadas de posição da Alta Direção;
d) nomeiem ou designem uma função de compliance com:
1) autoridade e responsabilidade pelo projeto, consistência e integridade do sistema de gestão
de compliance;
2) apoio claro e inequívoco e acesso direto ao órgão regulamentador e à Alta Direção;
3) acesso a:
— tomadores de decisão seniores e a oportunidade de contribuir no início dos processos
de tomada de decisão;
— todos os níveis da organização:
— todas as informações documentadas e dados necessários para executar as tarefas
de compliance;
— consultoria especializada em leis, regulamentos, códigos e normas organizacionais;
4) autoridade e capacidade para executar o poder de oposição, mostrando as eventuais
consequências para o compliance em processos de tomada de decisão pertinentes;
e) assegurem que a função de compliance tenha autoridade para agir de forma independente e
que não seja comprometida por prioridades conflitantes, particularmente quando o compliance
está embutido no negócio.
Convém que a Alta Direção:
— aloque recursos adequados e apropriados para estabelecer, desenvolver, implementar, avaliar,
manter e melhorar o sistema de gestão de compliance e os resultados de desempenho;
— assegure que as responsabilidades e autoridades para papéis pertinentes sejam atribuídas
e comunicadas dentro da organização;

ISO 19600:2014
— assegure que os sistemas eficazes e oportunos de relatórios estejam em vigor;
— seja avaliada de acordo com as medidas-chave de desempenho de compliance ou resultados;
— atribua a responsabilidade de relatar o desempenho do sistema de gestão de compliance para

o órgão regulamentador e a Alta Direção.
5.3.4 Função de compliance
Nem todas as organizações irão criar uma função de compliance específica, porém algumas podem
atribuir esta função a uma posição existente.
Convém que a função de compliance, trabalhando em conjunto com a direção, seja responsável por:
a) identificar as obrigações de compliance com o apoio de recursos pertinentes e traduzir essas

obrigações em políticas, procedimentos e processos acionáveis;
b) integrar obrigações de compliance nas políticas, procedimentos e processos existentes;
c) fornecer ou organizar apoio contínuo de treinamento para os empregados, para assegurar

que todos os empregados relevantes sejam treinados regularmente;
d) promover a inclusão das responsabilidades de compliance em descrições de cargos e processos

de gestão de desempenho de empregados;
e) definir um sistema de relatórios de compliance e documentação em vigor;
f) desenvolver e implementar processos para a gestão da informação, como reclamações e/ou

retroalimentação por meio de linhas diretas, um sistema de comunicação de irregularidades
e de outros mecanismos de execução;
g) estabelecer indicadores de desempenho de compliance e monitorar e medir o desempenho

em compliance;
h) analisar o desempenho para identificar a necessidade de ações corretivas;
i) identificar riscos de compliance e gestão destes riscos de compliance relativos a terceiros,

como fornecedores, agentes, distribuidores, consultores e contratados;
j) assegurar que o sistema de gestão de compliance seja analisado criticamente em intervalos

planejados;
k) assegurar que haja acesso a aconselhamento profissional adequado no estabelecimento,

implementação e manutenção do sistema de gestão de compliance;
l) fornecer aos empregados acesso a recursos sobre os procedimentos e referências de compliance;
m) fornecer aconselhamento objetivo para a organização sobre assuntos relacionados ao compliance.

NOTA Diretrizes sobre como lidar com reclamações são fornecidas na ISO 10002.
Ao atribuir a responsabilidade pela gestão de compliance, convém assegurar que a função

de compliance não tenha conflito de interesses e tenha demonstrado:
— integridade e comprometimento com o compliance;

ISO 19600:2014
— comunicação eficaz e habilidades de influência;

— uma capacidade e legitimidade para comandar a aceitação de aconselhamento e orientação;
— competência pertinente.
5.3.5 Responsabilidades da direção
Convém que a direção seja responsável pelo compliance dentro de sua área de responsabilidade.
Isso inclui:
a) cooperar com e apoiar a função de compliance, bem como incentivar os empregados a fazer
o mesmo;
b) cumprir pessoalmente e ser visto cumprindo as políticas, procedimentos e processos,
participar e apoiar atividades de treinamento de compliance;
c) identificar e comunicar os riscos de compliance em suas operações;
d) realizar ativamente e incentivar a orientação, coaching e supervisão dos empregados para
promover um comportamento compatível;
e) incentivar os empregados a levantar preocupações de compliance;
f) participar ativamente na gestão e resolução de incidentes e questões relacionados ao
compliance;
g) conscientizar os empregados sobre as obrigações de compliance, direcionando-os para atender
aos requisitos de treinamento e competência;
h) assegurar que o compliance seja levado em conta nas descrições das funções;
i) integrar o desempenho de compliance nas avaliações de desempenho dos empregados
(por exemplo, indicadores-chave de desempenho, metas e critérios de promoção);
j) integrar obrigações de compliance em práticas e procedimentos de negócios existentes em
suas áreas de responsabilidade;
k) em conjunto com a função de compliance, assegurar que, uma vez que a necessidade de ação
corretiva seja identificada, ela seja implementada;
l) supervisionar acordos de terceirização para assegurar que as obrigações de compliance sejam
levadas em conta.
5.3.6 Responsabilidade do empregado
Convém que todos os empregados, incluindo gerentes:
a) adiram às obrigações de compliance da organização, que são relevantes para a sua posição
e atribuições;
b) participem de treinamento de acordo com o sistema de gestão de compliance;
c) utilizem os recursos de compliance disponíveis como parte do sistema de gestão de compliance;
d) relatem preocupações de compliance, problemas e falhas.

ISO 19600:2014
6 Planejamento
6.1 Ações para abordar os riscos de compliance
Durante o planejamento do sistema de gestão de compliance, convém que a organização considere
as questões referidas em 4.1, os requisitos referidos em 4.2, os princípios da boa governança
referidos em 4.4, as obrigações de compliance identificadas em 4.5 e os resultados da avaliação de
risco de compliance referidos em 4.6 para determinar os riscos de compliance que necessitam ser
abordados para:
— garantir que o sistema de gestão de compliance atinja o(s) seu(s) resultado(s) pretendido(s);
— prevenir, detectar e reduzir os efeitos indesejáveis;
— promover melhoria contínua.
Convém que a organização planeje:
a) ações para abordar esses riscos de compliance e
b) como:
— integrar e implementar as ações em seus processos do sistema de gestão de compliance;
— avaliar a eficácia dessas ações.
Convém que a organização retenha a informação documentada sobre os riscos de compliance e

sobre as ações planejadas para abordá-los.
6.2 Objetivos de compliance e planejamento para alcançá-los

Convém que a organização estabeleça os seus objetivos do sistema de gestão de compliance em
funções e níveis relevantes.
Convém que os objetivos de compliance:
a) sejam consistentes com a política de compliance;
b) sejam mensuráveis (se possível);
c) levem em consideração os requisitos aplicáveis;
d) sejam monitorados;
e) sejam comunicados;
f) sejam atualizados e/ou revisados, caso necessário.
Ao planejar como alcançar seus objetivos de compliance, convém que a organização determine:
— o que será feito;
— os recursos que serão necessários;

ISO 19600:2014
— quem será responsável;
— quando será concluído;
— como os resultados serão avaliados, por exemplo, nos termos das medidas-chave de desem-
penho de compliance identificadas e resultados.
Convém que a organização retenha a informação documentada sobre os objetivos de compliance

e sobre as ações planejadas para alcançá-los.
7 Apoio
7.1 Recursos
Convém que a organização determine e forneça os recursos necessários para o estabelecimento,
desenvolvimento, implementação, avaliação, manutenção e melhoria contínua do sistema de
gestão de compliance adequado ao seu porte, complexidade, estrutura e operações.
Convém que a Alta Direção e todos os outros níveis de direção assegurem que os recursos neces-
sários sejam implementados de forma eficaz, para assegurar que o sistema de gestão de compliance
atenda aos seus objetivos e que o compliance seja alcançado.
Os recursos incluem recursos humanos e financeiros, como acesso a aconselhamento externo

e habilidades especializadas, infraestrutura organizacional, material de referência contemporânea
sobre gestão de compliance e as obrigações legais, desenvolvimento profissional e tecnologia.
7.2 Competência e treinamento

7.2.1 Competência
Convém que a organização:
a) determine as competências necessárias do(s) empregado(s) que faz(em) o trabalho sob o seu
controle e que afeta(m) o desempenho do sistema de gestão de compliance;
b) assegure que esses empregados sejam competentes, com base em educação, treinamento
e/ou experiência de trabalho;
c) onde aplicável, tome ações para adquirir a competência necessária e avalie a eficácia das
ações tomadas;
d) retenha a informação documentada adequada, incluindo evidências de competência.

NOTA As ações aplicáveis podem incluir, por exemplo, a oferta de treinamento, orientação ou rema-
nejamento de empregados; ou a contratação de pessoas competentes.
7.2.2 Treinamento
O órgão regulamentador, a direção e todos os empregados têm obrigações de compliance e convém

que sejam competentes para desempenhá-las de forma eficaz. A obtenção da competência pode
ser alcançada de várias maneiras, incluindo habilidades e conhecimentos necessários, por meio
de educação, treinamento ou experiência de trabalho.

ISO 19600:2014
O objetivo de um programa de treinamento é assegurar que todos os empregados sejam compe-

tentes para cumprir seu papel no trabalho, de forma consistente com a cultura de compliance da
organização e com o seu comprometimento com o compliance.
Treinamento bem concebido e executado pode fornecer uma maneira eficaz para os empregados
comunicarem os riscos de compliance anteriormente não identificados.
Convém que a educação e o treinamento dos empregados sejam:
a) adaptados às obrigações e riscos de compliance relacionados com os papéis e responsabilidades

do empregado;
b) se for o caso, com base na avaliação de lacunas no conhecimento e competência dos

empregados;
c) realizados por ocasião da admissão na organização e contínuos;
d) alinhados com o programa de treinamento corporativo e incorporados em planos de

treinamentos anuais;
e) práticos e facilmente compreendidos pelos empregados;
f) relevantes para o trabalho do dia a dia dos empregados e ilustrativos da indústria, organização
ou setor em questão;
g) suficientemente flexíveis para levar em consideração uma série de técnicas para satisfazer as
diferentes necessidades das organizações e dos empregados;
NOTA Treinamento interativo pode ser a melhor forma de treinamento, se o não cumprimento
puder resultar em consequências graves.
h) avaliados quanto à eficácia;
i) atualizados conforme a necessidade;
j) registrados e retidos.
Convém que retreinamento em compliance seja considerado sempre que houver:
— mudança de cargo ou responsabilidades;
— mudanças em políticas, procedimentos e processos internos;
— mudanças na estrutura da organização;
— mudanças nas obrigações de compliance, especialmente nos requisitos legais ou das partes
interessadas;
— mudanças nas atividades, produtos ou serviços;
— questões decorrentes do monitoramento, auditoria, análises críticas, reclamações e não cum-

primento, incluindo retroalimentação das partes interessadas.

ISO 19600:2014
7.3 Conscientização
7.3.1 Generalidades
Convém que as pessoas que executem trabalho sob controle da organização estejam conscientes:
a) da política de compliance;
b) de seu papel e contribuição para a eficácia do sistema de gestão de compliance, incluindo os

benefícios da melhoria do desempenho do sistema de gestão de compliance;
c) das implicações ao não cumprir os requisitos do sistema de gestão de compliance.
7.3.2 Comportamento
7.3.2.1 Generalidades
Convém que o comportamento que cria e apoia o compliance seja incentivado e que o comporta-
mento que compromete o compliance não seja tolerado.
7.3.2.2 Papel da Alta Direção ao incentivar o compliance
A Alta Direção tem uma responsabilidade-chave por:
a) alinhar o comprometimento da organização para o compliance de seus valores, objetivos e

estratégia, a fim de colocar o compliance adequadamente;
b) comunicar seu comprometimento de compliance, a fim de construir a consciência e motivar

os empregados a adotar o sistema de gestão de compliance;
c) incentivar todos os empregados a aceitar a importância de alcançar os objetivos de compliance

pelos quais são responsabilizados;
d) criar um ambiente onde o relato de não cumprimento é incentivado e o relato do empregado

estará a salvo de retaliação;
e) incentivar os empregados a fazer sugestões que facilitem a melhoria contínua do desempenho

de compliance;
f) assegurar que o compliance seja incorporado às iniciativas mais amplas da cultura e da

mudança da cultura organizacional;
g) identificar e agir prontamente para corrigir ou resolver o não cumprimento;
h) assegurar que as políticas organizacionais, procedimentos e processos apoiem e incentivem

o compliance;
i) assegurar que os objetivos e metas operacionais não comprometam o comportamento

compatível.
7.3.2.3 Cultura de compliance
O desenvolvimento de uma cultura de compliance requer o comprometimento ativo, visível,

consistente e sustentado do conselho de administração da Alta Direção e direção a um padrão
comum de comportamento, publicado, e que seja requerido em todas as áreas da organização.

ISO 19600:2014
EXEMPLO Os exemplos de fatores que irão apoiar o desenvolvimento de uma cultura de compliance
incluem:
— um conjunto transparente de valores publicados;
— gestão ativamente vista para implementar e cumprir os valores;
— coerência no tratamento de ações semelhantes, independentemente do cargo;
— orientação, coaching e liderança por meio de exemplo;
— avaliação pré-emprego adequada de potenciais empregados;
— um programa de indução ou orientação que enfatize o compliance e os valores da organização;
— treinamento contínuo de compliance, incluindo atualizações para o treinamento;
— comunicação contínua sobre as questões de compliance;
— sistemas de avaliação de desempenho que considerem a avaliação do comportamento de compliance

e levem em consideração o pagamento pelo desempenho em alcançar medidas-chave e resultados de
desempenho de compliance;
— reconhecimento visível das realizações da gestão de compliance e dos resultados;
— medidas disciplinares imediatas e proporcionais, no caso de violações intencionais ou negligentes das

obrigações de compliance;
— uma ligação clara entre os papéis individuais e a estratégia da organização, refletindo o compliance
como essencial para alcançar os resultados organizacionais;
— uma comunicação aberta e adequada sobre compliance.
A evidência de uma cultura de compliance é indicada pelo grau em que:
— os itens anteriores são implementados;
— as partes interessadas (particularmente os empregados) acreditam que os itens anteriores

foram implementados;
— os empregados compreendem a relevância das obrigações de compliance relacionadas às suas

próprias atividades e às de sua unidade de negócios;
— a remediação por não cumprimento é ‘propriedade’ e é acionada em todos os níveis

apropriados da organização, conforme necessário;
— o papel da função de compliance e os seus objetivos são valorizados;
— empregados são habilitados e incentivados a levantar preocupações de compliance ao nível

de gestão apropriado.

ISO 19600:2014
7.4 Comunicação
7.4.1 Generalidades
Convém que a organização determine a necessidade de comunicações internas e externas

relevantes para o sistema de gestão de compliance, incluindo:
a) o que irá comunicar;
b) quando comunicar;
c) para quem irá comunicar;
d) como irá comunicar.

NOTA Orientação sobre os relatórios de compliance internos e externos é apresentada em 9.1.7 e 9.1.8.
7.4.2 Comunicação interna
Convém que a organização adote métodos de comunicação adequados para assegurar que a men-
sagem de compliance seja ouvida e compreendida por todos os empregados em uma base contí-
nua. Convém que a comunicação estabeleça claramente a expectativa dos empregados quanto aos
não cumprimentos que são esperados para ser escalados e sob quais circunstâncias e para quem
na organização.
7.4.3 Comunicação externa
Convém que uma abordagem prática para a comunicação externa, tendo como meta todas as
partes interessadas, seja adotada de acordo com a política da organização.
As partes interessadas podem incluir, mas não estão limitadas a, conselhos de administração,
clientes, contratados, fornecedores, investidores, serviços de emergência, organizações não
governamentais e vizinhança.
Os métodos de comunicação podem incluir sites e e-mails, comunicados de imprensa, anúncios

e boletins periódicos, relatórios (ou outros periódicos) anuais, discussões informais, eventos,
grupos de discussão, diálogo com a comunidade, participação em eventos comunitários e linhas
diretas. Essas abordagens podem incentivar a compreensão e a aceitação do comprometimento
de uma organização para o compliance.
7.5 Informação documentada

7.5.1 Generalidades
Convém que o sistema de gestão de compliance da organização inclua:
a) informação documentada recomendada por esta Norma Internacional;
b) informação documentada determinada pela organização como sendo necessária para a

eficácia do sistema de gestão de compliance.
EXEMPLO Exemplos de informações documentadas incluem:
— a política de compliance da organização;

ISO 19600:2014
— os objetivos, metas, estrutura e conteúdo do sistema de gestão de compliance;
— atribuição de papéis e responsabilidades para o compliance;
— registro das obrigações de compliance;
— registros de riscos de compliance e priorização do tratamento com base no processo de avaliação de

risco de compliance;
— registro de não cumprimento e quase acidente;
— planos anuais de compliance;
— registros de pessoal, incluindo, mas não limitados a, registros de treinamento.
NOTA 1 Informação documentada pode incluir assuntos relativos aos requisitos de relatórios
regulamentares.
NOTA 2 A extensão de informações documentadas para um sistema de gestão de compliance pode

diferir de uma organização para outra, devido:
— ao porte da organização e ao seu tipo de atividades, processos, produtos e serviços;
— à complexidade dos processos e suas interações;
— à competência dos empregados;
— à maturidade do sistema de gestão de compliance.
7.5.2 Criando e atualizando
Ao criar e atualizar informações documentadas, convém que a organização assegure apropriados:
— identificação e descrição (por exemplo, um título, data, autor, ou referência ou número da

versão);
— formato (por exemplo, linguagem, versão do software, gráficos) e meios (por exemplo, papel,
eletrônicos);
— análise crítica e aprovação por suficiência e adequação.
7.5.3 Controle de informação documentada
Convém que a informação documentada recomendada pelo sistema de gestão de compliance

e por esta Norma Internacional seja controlada para assegurar que:
a) ela esteja disponível, acessível e adequada para uso, onde e quando for necessário;
b) ela esteja protegida suficientemente (por exemplo, perda de confidencialidade, uso impróprio
ou perda de integridade).
Para o controle de informação documentada, convém que a organização aborde as seguintes ativi-
dades, como aplicável:
— distribuição, acesso, recuperação e uso;

ISO 19600:2014
— armazenamento e conservação, incluindo a preservação de legibilidade;
— controle de alterações (por exemplo, controle de versão);
— retenção, disposição e eliminação;
— papel de terceira parte na criação e controle de informação documentada.
Convém que a informação documentada de origem externa determinada pela organização como
necessária para o planejamento e operação do sistema de gestão de compliance seja identificada,
como apropriado, e controlada.
Informação documentada pode ser preparada com a finalidade de obtenção de aconselhamento

jurídico e, portanto, pode ser objeto de privilégio legal.
NOTA O acesso implica uma decisão quanto à permissão para ver somente a informação documentada,
ou a permissão e autoridade para ver e alterar a informação documentada etc.
8 Operação
8.1 Planejamento e controle operacional
Convém que a organização planeje, implemente e controle os processos necessários para atender
às obrigações de compliance e implementar as ações determinadas em 6.1, ao:
— definir os objetivos dos processos;
— estabelecer critérios para os processos;
— implementar um controle de processos de acordo com os critérios;
— manter informação documentada, na extensão necessária, para ter a confiança de que os

processos foram realizados conforme o planejado.
Convém que a organização controle mudanças planejadas e analise criticamente as consequências

de mudanças não intencionais, tomando ações para minimizar quaisquer efeitos adversos,
quando necessário.
8.2 Estabelecendo controles e procedimentos

Convém que os controles sejam colocados em vigor para gerir as obrigações de compliance
identificadas e os riscos de compliance associados e para alcançar o comportamento desejado.
São necessários controles eficazes para assegurar que as obrigações de compliance da organização
sejam atendidas e que o não cumprimento seja impedido, ou detectado e corrigido. Convém que
os tipos e níveis de controles sejam projetados com rigor suficiente para facilitar o alcance das
obrigações de compliance que são específicas para as atividades da organização e do ambiente
operacional. Convém que estes controles sejam, sempre que possível, incorporados em processos
organizacionais normais.
EXEMPLO Exemplos de controles incluem:
— políticas operacionais documentadas, procedimentos, processos e instruções de trabalho, claros, prá-

ticos e fáceis de seguir;

ISO 19600:2014
— sistemas e relatórios de exceção;
— aprovações;
— segregação dos papéis e responsabilidades incompatíveis;
— processos automatizados;
— planos anuais de compliance;
— planos de desempenho de empregados;
— avaliações de compliance e auditorias;
— comprometimento e comportamento exemplar demonstrado da direção e outras medidas para

promover um comportamento compatível;
— comunicação ativa, aberta e frequente sobre o comportamento esperado de empregados (normas e

valores, códigos de conduta).
Convém que esses controles sejam mantidos, periodicamente avaliados e verificados para
assegurar a sua eficácia contínua.
Convém que os procedimentos sejam estabelecidos, documentados, implementados e mantidos

para apoiar a política de compliance e para transformar as obrigações de compliance em prática.
Ao desenvolver estes procedimentos, convém considerar:
a) integração das obrigações de compliance em procedimentos, incluindo sistemas de computa-

dor, formulários, sistemas de relatórios, contratos e outra documentação legal;
b) coerência com outras funções de análise crítica e controle da organização;
c) monitoramento e medição contínuos;
d) avaliação e relatório (incluindo supervisão da direção) para assegurar que os empregados

cumpram os procedimentos;
e) modalidades específicas de identificação, relatos e casos de escalonamento de não cumpri-

mento e riscos de não cumprimento.
8.3 Processos terceirizados
Convém que a organização assegure que os processos terceirizados sejam controlados e monitorados.
A terceirização de operações de uma organização não costuma isentar a organização de suas

responsabilidades legais ou obrigações de compliance. Se houver qualquer terceirização das
atividades da organização, a organização precisa realizar due diligence efetiva para assegurar
que as suas normas e comprometimento com o compliance não sejam reduzidos. Convém que
os controles sobre contratados também estejam em vigor para assegurar que o contrato seja
cumprido de forma eficaz (por exemplo, avaliações de desempenho de terceira parte).
NOTA BRASILEIRA Entende-se pelo termo due dilligence o processo que tem por finalidade avaliar a
natureza e a extensão dos riscos envolvidos, visando auxiliar a organização na tomada decisão específica
em relação a transações, projetos, atividades, parceiros de negócios e pessoal.

ISO 19600:2014
Convém que a organização considere os riscos de compliance relacionados com outros processos
relacionados com o de terceira parte, como o fornecimento de bens e serviços e distribuição de
produtos, e disponha de controles em vigor, conforme necessário (por exemplo, obrigações de
compliance em cláusulas contratuais).
9 Avaliação de desempenho
9.1 Monitoramento, medição, análise e avaliação
9.1.1 Generalidades
Convém que a organização determine:
a) o que precisa ser monitorado, medido e por quê;
b) os métodos de monitoramento, medição, análise e avaliação, conforme o caso, para assegurar

resultados válidos;
c) quando convém que o monitoramento e a medição sejam realizados;
d) quando convém que os resultados de monitoramento e medição sejam analisados, avaliados

e relatados.
Convém que a organização retenha informação documentada apropriada como evidência dos
resultados.
Convém que a organização avalie o desempenho do sistema de gestão de compliance e da eficácia

do sistema de gestão de compliance.
9.1.2 Monitoramento
Convém que o sistema de gestão de compliance seja monitorado para assegurar que o desempenho
de compliance seja alcançado. Convém que um plano de monitoramento contínuo seja estabelecido,
determinando processos de monitoramento, cronogramas, recursos e informações a serem
coletadas.
O monitoramento de compliance é o processo de coleta de informações para os efeitos de avaliação

da eficácia do sistema de gestão de compliance e de desempenho de compliance da organização.
O monitoramento do sistema de gestão de compliance normalmente inclui:
— eficácia do treinamento;
— eficácia dos controles, por exemplo, por resultados de teste de amostra;
— alocação efetiva de responsabilidades para o cumprimento das obrigações de compliance;
— grau de atualização das obrigações de compliance;
— eficácia na resolução das falhas de compliance previamente identificadas;
— casos em que as inspeções internas de compliance não são realizadas como programado.

ISO 19600:2014
Monitoramento de desempenho de compliance normalmente inclui:
— não cumprimento e “quase acidentes” (ou seja, incidentes sem efeitos adversos);
— casos em que as obrigações de compliance não são cumpridas;
— casos em que os objetivos não são alcançados;
— status da cultura de compliance;
— indicadores direcionadores e de resultado, estabelecidos em 9.1.6.
9.1.3 Fontes de retroalimentação sobre desempenho de compliance
Convém que a organização estabeleça, implemente, avalie e mantenha procedimentos para buscar e
receber retroalimentação sobre seu desempenho de compliance de uma série de fontes, incluindo:
— empregados, por exemplo, por meio de instalações de denúncia, linhas telefônicas de apoio,
retroalimentação, caixas de sugestões;
— clientes, por exemplo, por meio de um sistema de tratamento de reclamações;
— fornecedores;
— regulamentadores;
— registros de controle de processo e registros de atividade (tanto em computador como em papel).

EXEMPLO Exemplos de retroalimentação sobre o desempenho de compliance incluem:
— questões de compliance,
— não cumprimentos e preocupações de compliance,
— questões de compliance que surgirem,
— alterações regulamentares e organizacionais em andamento e
— comentários sobre a eficácia de compliance e desempenho.
Convém que a retroalimentação sirva como uma fonte fundamental de melhoria contínua do
sistema de gestão de compliance.
9.1.4 Métodos de coleta de informações
Existem muitos métodos de coleta de informações. Cada método listado a seguir é relevante
em diferentes circunstâncias e convém que seja tomado cuidado para selecionar a variedade de
ferramentas apropriadas para o porte, escala, natureza e complexidade da organização.
EXEMPLO Exemplos de coleta de informações incluem:
— relatórios ad hoc de não cumprimento da forma como surgem ou são identificados;
— informações obtidas por meio de centrais de atendimento, reclamações e outras retroalimentações,

incluindo as denúncias;

ISO 19600:2014
— discussões informais, workshops e grupos de discussões;
— testes de amostragem e integridade, como mystery shopping;
NOTA BRASILEIRA O termo mistery shopping é entendido como a ferramenta utilizada pelas
organizações de diferentes setores para avaliar, medir e testar a qualidade de seus serviços ou aplicação
de normas, definidos pelas próprias organizações, por meio de reunião de informações específicas para
o aprimoramento do serviço ou produto oferecido, utilizando, para tanto, clientes ocultos ou secretos
que simulam ser clientes habituais da organização.
— resultados de pesquisas de percepção;
— observações diretas, entrevistas formais, vistoria em instalações e inspeções;
— auditorias e análises críticas;
— consultas das partes interessadas, solicitações de treinamento e retroalimentação fornecida durante

o treinamento (especialmente aqueles de empregados).
9.1.5 Análise e classificação de informações
A classificação eficaz e a gestão das informações são fundamentais.
Convém que um sistema seja desenvolvido para a classificação, armazenamento e recuperação

das informações.
EXEMPLO Exemplos de critérios de classificação das informações incluem:
— fonte;
— departamento;
— descrição do não cumprimento;
— referência de obrigação;
— indicadores;
— severidade;
— impacto real ou potencial.
Convém que os sistemas de gestão da informação capturem tanto as questões como as reclamações
e permitam a classificação e análise das que dizem respeito ao compliance.
Uma vez que a informação foi coletada, ela precisa ser analisada e avaliada criticamente para
identificar as causas-raiz e as medidas adequadas a serem tomadas. Convém que a análise
considere problemas sistêmicos e recorrentes para retificação ou melhoramento, uma vez que
estes são suscetíveis de acarretar riscos de compliance significativos para a organização e podem
ser mais difíceis de identificar.

ISO 19600:2014
9.1.6 Desenvolvimento de indicadores
É importante que as organizações desenvolvam um conjunto de indicadores mensuráveis que

irá auxiliar a organização na medição da realização dos seus objetivos (ver 6.2) e quantificar o
seu desempenho de compliance. Convém que este processo leve em consideração os resultados
de avaliação de riscos de compliance (ver 4.6) para assegurar que os indicadores considerem as
características pertinentes dos riscos de compliance da organização. A questão do que e como
medir o desempenho de compliance pode ser um desafio, em alguns aspectos, mas é, no entanto,
uma parte vital para demonstrar a eficácia do sistema de gestão de compliance. Além disso, os
indicadores necessários irão variar de acordo com a maturidade da organização e da época e do
âmbito de programas novos e revisados a serem implementados.
EXEMPLO 1 Exemplos de indicadores de atividade incluem:
— porcentagem de empregados treinados de forma eficaz;
— frequência dos contatos por parte dos regulamentadores;
— utilização de mecanismos de retroalimentação (incluindo comentários sobre o valor desses mecanis-

mos pelos usuários);
— qual tipo de ação corretiva foi tomado para cada não cumprimento.
EXEMPLO 2 Exemplos de indicadores reativos incluem:
— questões e não cumprimentos identificados, relatados por tipo, área e frequência;
— consequência de não cumprimento, o que pode incluir a avaliação do impacto resultante da compen-
sação monetária, multas e outras penalidades, custos de reparação, reputação ou custo de tempo dos
empregados;
— tempo necessário para relatar e tomar ações corretivas.
EXEMPLO 3 Exemplos de indicadores preditivos incluem:
— riscos de não cumprimento (medidos como potencial de perda/ganho de objetivos (receitas, saúde e
segurança, reputação etc.) ao longo do tempo;
— tendências de não cumprimento (taxa de compliance esperada com base em tendências passadas).
9.1.7 Relatório de compliance
Convém que o órgão regulamentador, a direção e a função de compliance assegurem que eles sejam
eficazmente informados sobre o desempenho do sistema de gestão de compliance da organização
e de sua adequação contínua, incluindo todos os não cumprimentos relevantes, em tempo hábil,
e promovam ativamente o princípio de que a organização incentiva e apoia uma cultura de
comunicação completa e franca. Convém que o regime de relatórios internos assegure que:
a) critérios adequados e obrigações de notificação sejam definidos;
b) prazos para a apresentação de relatórios regulares sejam estabelecidos;
c) um sistema de relatórios de exceção esteja em vigor, facilitando relatórios ad hoc de não

cumprimento emergentes;

ISO 19600:2014
d) sistemas e processos estejam em vigor para assegurar a exatidão e a integridade das

informações;
e) informações precisas e completas sejam fornecidas para as funções corretas ou áreas da

organização, para permitir as ações preventiva, corretiva e de reparação a serem tomadas;
f) haja aprovação com relação à precisão dos relatórios ao órgão regulamentador, inclusive pela
função de compliance.
Convém que uma organização escolha um formato, conteúdo e calendário do seu relatório de
compliance interno, que seja adequado às suas circunstâncias, salvo indicação em contrário por lei.
Convém que relatórios de compliance sejam incorporados aos relatórios organizacionais padrão.
Convém que relatórios separados somente sejam preparados para não cumprimentos relevantes
e para questões emergentes.
Todos os não cumprimentos precisam ser devidamente relatados. Enquanto o relato de problemas
sistêmicos e recorrentes é particularmente importante, um não cumprimento pontual pode ser de
igual preocupação, se for relevante ou deliberado. Mesmo uma pequena falha pode indicar séria
fraqueza do processo atual e do sistema de gestão de compliance. Se a falha não for relatada em
tempo hábil, pode levar à visão de que ela não é importante, podendo resultar em um problema
sistêmico.
Convém que os empregados sejam incentivados a responder e relatar o não cumprimento da lei e
outros incidentes de não cumprimento, e que vejam sem medo de retaliação tais relatórios como
uma ação positiva, e não ameaçadora.
Convém que as obrigações de relatar sejam definidas claramente na política e procedimentos

de compliance da organização e reforçadas por outros métodos, como o reforço informal pelos
gestores durante o seu trabalho diário com os empregados.
9.1.8 Conteúdo dos relatórios de compliance
Relatórios de compliance podem incluir:
a) quaisquer assuntos que a organização seja requerida a notificar a qualquer autoridade

regulamentadora;
b) alterações nas obrigações de compliance, seu impacto sobre a organização e o curso de ação
proposto para atender às novas obrigações;
c) medidas de desempenho de compliance, incluindo não cumprimento e melhoria contínua;
d) números e detalhes dos possíveis não cumprimentos e suas posteriores análises;
e) ações corretivas tomadas;
f) informações sobre eficácia, alcance e tendências do sistema de gestão de compliance;
g) contatos e desenvolvimentos nos relacionamentos com os regulamentadores;

h) resultados de auditorias, bem como de atividades de monitoramento.

ISO 19600:2014
Convém que a política de compliance promova o relato imediato de assuntos materialmente

significativos que surjam fora dos prazos para apresentação de relatórios regulares.
9.1.9 Manutenção de registros
Convém que registros precisos e atualizados de atividades de compliance da organização sejam

mantidos para ajudar no processo de monitoramento e análise crítica e para demonstrar a
conformidade com o sistema de gestão de compliance.
Convém que a manutenção de registros inclua o registro e a classificação de reclamações e litígios
do suposto descumprimento e as medidas tomadas para resolvê-los.
Convém que os registros sejam armazenados de uma forma que assegurem que eles permaneçam
legíveis, prontamente identificáveis e recuperáveis.
Convém que estes registros sejam protegidos contra qualquer adição, exclusão, alteração, uso não
autorizado ou ocultação.
Os registros do sistema de gestão de compliance da organização podem incluir:
a) informações sobre o desempenho de compliance, incluindo os relatórios de compliance;
b) reclamações, sua resolução e comunicações das partes interessadas;

c) detalhes de não cumprimento e as ações corretivas e preventivas;
d) resultados de análises críticas e auditorias do sistema de gestão de compliance e as ações
tomadas.
9.2 Auditoria
Convém que a organização conduza auditorias pelo menos em intervalos planejados para fornecer
informações, se o sistema de gestão de compliance:
a) estiver em conformidade com:

1) os critérios próprios da organização para seu sistema de gestão de compliance;
2) as recomendações desta Norma Internacional;
b) estiver implementado e mantido eficazmente.
Auditorias adicionais também podem ser conduzidas, conforme necessário.
Convém que a organização:
— planeje, estabeleça, implemente e mantenha um programa de auditoria, incluindo frequência,
métodos, responsabilidades, requisitos para planejar e para relatar. Convém que o programa
de auditoria leve em consideração a importância dos processos concernentes e os resultados
de auditorias anteriores;
— defina os critérios de auditoria e o escopo de cada auditoria;
— selecione auditores e conduza auditorias para assegurar a objetividade e a imparcialidade do

processo de auditoria;

ISO 19600:2014
— assegure que os resultados das auditorias sejam relatados para a direção pertinente;
— retenha informações documentadas como prova da execução do programa de auditoria e dos

resultados de auditoria.
9.3 Análise crítica pela direção
Convém que a Alta Direção analise criticamente o sistema de gestão de compliance da organi-
zação, a intervalos planejados, para assegurar sua contínua adequação, suficiência e eficácia.
A profundidade real e a frequência dessas análises críticas irão variar de acordo com a natureza
da organização e das suas políticas.
Convém que a análise crítica pela direção inclua considerações sobre:
a) a situação das ações das análises críticas anteriores pela direção;
b) a suficiência da política de compliance;
c) a extensão de quais objetivos de compliance foram atendidos;
d) suficiência dos recursos;
e) mudanças em questões externas e internas que sejam pertinentes para o sistema de gestão
de compliance;
f) informações sobre o desempenho de compliance, incluindo as tendências em:
— não cumprimentos, ações corretivas e prazos de resolução;
— resultados de monitoramento e medição;
— comunicação das partes interessadas, incluindo reclamações;
— resultados das auditorias;
g) oportunidades de melhoria contínua.
Convém que os resultados da análise crítica pela direção incluam decisões relacionadas às
oportunidades de melhoria contínua e qualquer necessidade de mudanças no sistema de gestão
de compliance.
Convém incluir também recomendações sobre:
a) a necessidade de mudanças na política de compliance, seus objetivos associados, sistemas,

estrutura e pessoal;
b) alterações em processos de compliance para assegurar a integração eficaz com as práticas e

sistemas operacionais;
c) áreas a serem monitoradas por potencial não cumprimento futuro;
d) ações corretivas com relação ao não cumprimento;
e) lacunas ou falhas nos sistemas de compliance atuais e iniciativas de melhoria contínua a longo
prazo;

ISO 19600:2014
f) reconhecimento do comportamento de compliance exemplar dentro da organização.
Convém que a organização retenha a informação documentada como evidência dos resultados
das análises críticas pela direção e que uma cópia seja fornecida para o órgão regulamentador.
10 Melhoria
10.1 Não conformidade, não cumprimento e ação corretiva
10.1.1 Generalidades
Quando uma não conformidade e/ou não cumprimento ocorre, convém que a organização:
a) reaja à não conformidade e/ou ao não cumprimento e, conforme o caso:
— tome medidas para controlar e corrigir; e/ou
— gerencie as consequências;
b) avalie a necessidade de ações para eliminar as causas fundamentais da não conformidade

e/ou não cumprimento, a fim de que não se repita ou ocorra em outros lugares, ao:
— analisar criticamente a não conformidade e/ou não cumprimento;
— determinar as causas de não conformidade e/ou não cumprimento;
— determinar se existem não conformidades e/ou não cumprimentos similares,

ou se poderiam potencialmente ocorrer;
c) implemente qualquer ação necessária;
d) analise criticamente a eficácia das medidas corretivas tomadas;
e) faça alterações no sistema de gestão de compliance, se necessário.
A falha em prevenir ou detectar um não cumprimento pontual não significa necessariamente que
o sistema de gestão de compliance não seja geralmente eficaz na prevenção e detecção de não
cumprimentos.
Convém que as ações corretivas sejam apropriadas aos efeitos das não conformidades e/ou não
cumprimentos encontrados. Convém que a organização retenha a informação documentada como
evidência de:
— natureza das não conformidades e/ou não cumprimento e quaisquer ações tomadas subse-
quentemente;
— resultados de qualquer ação corretiva.
Informações da análise de não conformidade e/ou não cumprimento podem ser usadas para
considerar:
— avaliação do desempenho do produto e serviço;
— melhoria e/ou redefinição de produtos e serviços;

ISO 19600:2014
— mudança das práticas e procedimentos organizacionais;
— reciclagem de empregados;
— reavaliação da necessidade de informar as partes interessadas;
— fornecimento de aviso antecipado de potencial não cumprimento;
— redefinição ou análise crítica de controles;
— aumento dos passos de notificação e escalonamentos (internos e externos).
10.1.2 Escalonamento
Convém que um processo de escalonamento transparente e oportuno seja adotado e comunicado

para assegurar que todos os não cumprimentos sejam levantados, relatados e, eventualmente,
escalonados para a direção pertinente, em que a função de compliance seja informada e capacitada
a suportar o escalonamento. Quando apropriado, convém que o escalonamento venha da Alta
Direção e do órgão regulamentador, incluindo comitês pertinentes. Convém que o processo
especifique para quem, como e quando as questões são para serem relatadas e os prazos para os
relatos internos e externos.
Quando for requerido por lei que as organizações relatem o não cumprimento, as autoridades
regulamentadoras precisam ser informadas de acordo com os regulamentos aplicáveis ou
conforme acordado.
Mesmo que as organizações não sejam obrigadas por lei a relatar o não cumprimento, elas podem
considerar a autodivulgação voluntária do não cumprimento às autoridades regulamentadoras
para mitigar as consequências do não cumprimento.
Convém que um sistema de gestão de compliance eficiente inclua um mecanismo para os empregados
de uma organização e/ou outras pessoas relatarem suspeitas de má conduta ou violações das
obrigações de compliance da organização, de forma confidencial e sem medo de retaliação.
10.2 Melhoria contínua

Convém que a organização procure melhorar continuamente a adequação, a suficiência e a eficácia
do sistema de gestão de compliance.
Convém que as informações coletadas, analisadas e avaliadas em conformidade, e incluídas nos

relatórios de compliance, sejam usadas como base para identificar oportunidades de melhoria do
desempenho de compliance da organização.

ISO 19600:2014
Bibliografia
[1] ISO 9001, Quality management systems — Requirements
[2] ISO 10002, Quality management — Customer satisfaction — Guidelines for complaints handling
in organizations
[3] ISO 14001, Environmental management systems — Requirements with guidance for use
[4] ISO 19011, Guidelines for auditing management systems
[5] ISO 22000, Food safety management systems — Requirements for any organization in the food
chain
[6] ISO 26000, Guidance on social responsibility
[7] ISO 31000, Risk management — Principles and guidelines
[8] ISO Guide 73:2009, Risk management — Vocabulary

Conjunto de vantagens para você e sua empresa
www.abnt.org.br/publicacoes
Associação Brasileira de Normas Técnicas

Av. Treze de Maio, 13/28º andar - 20031-901 - Rio de Janeiro - RJ
Tel.: (21) 3974-2300 - www.abnt.org.br


ISO 19600 - 2014 - Sistema de Gestão de Compliance Diretrizes

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ISO 19600 - 2014 - Sistema de Gestão de Compliance Diretrizes

Enviado por

Direitos autorais:

Formatos disponíveis

Document shared on www.docsity.com

Sistema de gestão de compliance — Diretrizes

Document shared on www.docsity.com

© ISO 2014 - Todos os direitos reservados iii

Document shared on www.docsity.com

Os procedimentos usados para desenvolver este documento e os destinados à sua posterior

Esta versão em portugês foi publicada em 10.06.2016.

iv © ISO 2014 - Todos os direitos reservados

Document shared on www.docsity.com

O compliance é a consequência de uma organização cumprir as suas obrigações, e é feito de forma

A abordagem de uma organização quanto ao compliance é idealmente moldada pela liderança

Em muitas jurisdições, os tribunais têm considerado o comprometimento de uma organização com

O fluxograma da Figura 1 é consistente com outros sistemas de gestão e se baseia no princípio de

© ISO 2014 - Todos os direitos reservados v

Document shared on www.docsity.com

Figura 1 – Fluxograma de um sistema de gestão de compliance

vi © ISO 2014 - Todos os direitos reservados

Document shared on www.docsity.com

Sistema de gestão de compliance — Diretrizes

© ISO 2014 - Todos os direitos reservados 1

Document shared on www.docsity.com

NOTA 2 Os elementos do sistema incluem a estrutura da organização, papéis e responsabilidades,

NOTA 1 Um objetivo pode ser estratégico, tático e/ou operacional.

2 © ISO 2014 - Todos os direitos reservados

Document shared on www.docsity.com

NOTA 2 A incerteza é o estado, ainda que parcial, de deficiência de informação de compreensão ou

NOTA 4 O risco é frequentemente expresso em termos de uma combinação das consequências de

NOTA BRASILEIRA O entendimento comumente disseminado para o termo compliance é de que

© ISO 2014 - Todos os direitos reservados 3

Document shared on www.docsity.com

NOTA 2 Informação documentada pode se referir a:

— sistema de gestão (3.7), incluindo processos (3.10) relacionados;

— informação criada para que a organização opere (documentação);

— evidência de resultados alcançados (registros).

4 © ISO 2014 - Todos os direitos reservados

Document shared on www.docsity.com

NOTA 1 Desempenho pode se relacionar tanto a constatações quantitativas quanto qualitativas.

NOTA 2 “Evidência de auditoria” e “critérios de auditoria” são definidos na ISO 19011.

NOTA 3 A independência pode ser demonstrada pela ausência de responsabilidade em relação à

NOTA A não conformidade não é necessariamente um não cumprimento (3.18).

© ISO 2014 - Todos os direitos reservados 5

Document shared on www.docsity.com

4.2 Entendendo as necessidades e expectativas das partes interessadas

— as partes interessadas que são pertinentes ao sistema de gestão de compliance;

— os requisitos destas partes interessadas.

Ao determinar esse escopo, convém que a organização considere:

— as questões externas e internas referidas em 4.1;

— os requisitos referidos em 4.2 e 4.5.1.

Convém que o escopo esteja prontamente disponível como informação documentada.

4.4 Sistema de gestão de compliance e princípios de boa governança

— acesso direto da função de compliance ao órgão regulamentador;

6 © ISO 2014 - Todos os direitos reservados

Document shared on www.docsity.com

— independência da função de compliance;

— autoridade apropriada e recursos adequados alocados à função de compliance.

4.5 Obrigações de compliance

Convém que a organização identifique sistematicamente as suas obrigações de compliance e suas

Convém que fontes de obrigações de compliance incluam requisitos de compliance e possam

— permissões, licenças ou outras formas de autorização;

— ordens, regras ou diretrizes emitidas pelas agências reguladoras;

— decisões de tribunais de justiça ou tribunais administrativos;