Escolar Documentos
Profissional Documentos
Cultura Documentos
APRESENTAÇÃO
1) Este Projeto foi elaborado na Comissão de Estudo Especial de Governança das Organizações
Projeto em Consulta Nacional
25.04.2018 29.05.2018
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória.
Participante Representante
© ABNT 2018
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
Prefácio
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos.
Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras
datas para exigência dos requisitos desta Norma.
A ABNT NBR 19601 foi elaborada na Comissão de Estudo Especial de Governança das Organizações
(ABNT/CEE-309). O Projeto circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX
a XX.XX.XXXX.
Scope
This Document applies to all organizations (or parts of an organization), regardless of the type,
size and nature of the activity, as well as whether the organization is from the public, private
or nonprofit sector.
Introdução
As organizações que pretendem ser bem-sucedidas em longo prazo precisam manter uma cultura
de integridade e compliance, bem como considerar as necessidades e expectativas das partes inte-
ressadas. Portanto, integridade e compliance não somente são as bases, mas também oportunidades
Projeto em Consulta Nacional
O termo compliance no Brasil por vezes é traduzido como “integridade” e também como “cumprimento”.
Contudo, decidiu-se não traduzir o termo para os fins deste Documento em virtude de sua acepção
ser mais ampla. Assim, neste contexto, compliance está relacionado com o ato de cumprir obrigações
e refere-se a uma organização e às suas ações para cumprir ou assegurar o cumprimento das suas
obrigações. Note-se que no Brasil os já mencionados termos “integridade” e “cumprimento” são
também frequentemente utilizados com o sentido de compliance como usado neste Documento.
Um sistema de gestão de compliance eficaz abrangendo toda a organização permite que uma orga-
nização demonstre seu comprometimento com o cumprimento das leis pertinentes, incluindo requi-
sitos legislativos, os compromissos voluntariamente assumidos, códigos da indústria e procedimentos
organizacionais, bem como as normas de boa governança corporativa, boas práticas, ética e expec-
tativas da comunidade.
A abordagem de uma organização quanto ao compliance é moldada pela liderança ao aplicar valores
fundamentais de governança corporativa e padrões éticos e comunitários geralmente aceitos.
Incorporar o compliance no comportamento das pessoas que trabalham para uma organização
depende, sobretudo, da liderança em todos os níveis e da transparência dos valores de uma
organização, bem como de um reconhecimento e implementação de controles para promover um
comportamento compatível. Se não for assim em todos os níveis de uma organização, existe o risco
de não cumprimento da abordagem.
As organizações estão cada vez mais convencidas de que, por meio da aplicação de valores acordados
e gestão de compliance, elas podem salvaguardar a sua integridade e evitar ou minimizar o não
cumprimento das suas obrigações. Assim, a integridade e o compliance efetivos são elementos-chave
de uma boa e diligente gestão. O compliance também contribui para o comportamento socialmente
responsável das organizações.
Ele estabelece requisitos para um sistema de gestão concebido para ajudar uma organização
a cumprir com as leis e regulamentações, incluindo compromissos voluntários aplicáveis às suas
atividades, e dentro dos princípios de uma boa governança baseada na ética, honestidade, integridade,
transparência e sustentabilidade, conforme a Figura 1.
Ética, Integridade
e Transparência
nos Negócios
Projeto em Consulta Nacional
Crescimento
Valores culturais
e Perenidade
Este Documento tem a mesma estrutura de alto nível, textos centrais idênticos e termos comuns
das Normas ISO de sistemas de gestão.
Estes requisitos incluem uma estrutura de alto nível, textos centrais idênticos e termos comuns
com as definições centrais, concebidas para beneficiar os usuários que implementam múltiplas
normas ISO de sistemas de gestão. Este Documento pode ser usado em conjunto com outras
Normas ISO de sistemas de gestão (por exemplo, ABNT NBR ISO 9001, ABNT NBR ISO 27001 e
ABNT NBR ISO 37001) e com Normas de gestão (por exemplo, ABNT NBR ISO 26000 e
ABNT NBR ISO 31000).
Identificação de
questões externas e
Determinação do escopo
Estabelecer
internas (4.1)
e estabelecimento do Princípios de boa
sistema de gestão de governança (4.4)
compliance (4.3/4.4)
Identificação dos
requisitos das partes
Projeto em Consulta Nacional
interessadas (4.2)
Estabelecimento da
política de compliance
Identificação de obrigações
de compliance e avaliação
de riscos de compliance
Manter Desenvolver
Comprometimento da
liderança, independência Planejamento para
Gestão de não
da função compliance (5.1), abordar riscos de
cumprimentos e da
responsabilidades em compliance e alcançar
melhoria contínua (10)
todos os níveis (5.3). objetivos (6)
Funções de suporte (7)
Avaliar Implementar
Melhorar
Avaliação de Planejamento
desempenho e operacional e
relatório de controle dos riscos
compliance (9) de compliance (8)
1 Escopo
Projeto em Consulta Nacional
Este Documento é aplicável a todas as organizações (ou partes de uma organização), independen-
temente do tipo, tamanho e natureza da atividade, bem como se a organização é do setor público,
privado ou sem fins lucrativos.
2 Referência normativa
O documento a seguir é citados no texto de tal forma que seu conteúdo, total ou parcial, constituem
requisitos para este Documento. Para referências datadas, aplicam-se somente as edições citadas.
Para referências não datadas, aplicam-se as edições mais recentes do referido documento (incluindo
emendas).
ABNT NBR ISO 37001, Sistemas de gestão antissuborno – Requisitos com orientações para o uso
3 Termos e definições
Para os efeitos deste documento, aplicam-se os seguintes termos e definições.
3.1
organização
pessoa ou grupo de pessoas que têm suas próprias funções, com responsabilidades, autoridades
e relações para alcançar seus objetivos (3.8)
Nota 1 de entrada: O conceito de organização inclui, mas não é limitado a empreendedor individual, companhia,
corporação, firma, empresa, autoridade, parceria, instituição de caridade, ou parte ou combinação destas,
seja incorporada ou não, pública ou privada.
Nota 2 de entrada: Para organizações com mais de uma unidade operacional, uma ou mais unidades
operacionais podem ser definidas como uma organização.
3.2
parte interessada (stakeholder)
pessoa ou organização (3.1) que pode afetar ou ser afetada por uma decisão ou atividade
Nota 1 de entrada: Uma parte interessada pode ser interna ou externa à organização.
3.3
Órgão Diretivo
pessoa ou grupo de pessoas que governa uma organização (3.1), dá direção e ao qual a Alta Direção
(3.4) se reporta, e perante o qual a Alta Direção é responsabilizada
Nota 1 de entrada: Nem todas as organizações, particularmente organizações pequenas, têm um Órgão
Diretivo separado da Alta Direção (ver 3.4, Nota 3 de entrada).
Nota 2 de entrada: Um Órgão Diretivo pode incluir, porém não está limitado a, o conselho de administração,
os comitês do conselho de supervisão, os curadores ou os supervisores.
3.4
Alta Direção
Projeto em Consulta Nacional
pessoa ou grupo de pessoas que dirige e controla uma Organização (3.1) no nível mais alto
Nota 1 de entrada: A Alta Direção tem o poder de delegar autoridade e prover recursos na organização.
Nota 2 de entrada: Se o escopo do sistema de gestão (3.6) cobrir apenas parte de uma organização,
então a Alta Direção se refere àqueles que dirigem e controlam aquela parte da organização.
Nota 3 de entrada: Organizações podem ser estruturadas dependendo do marco legal sob o qual são
obrigadas a operar e também de acordo com o seu porte, setor etc. Algumas organizações tem tanto
Órgão Diretivo (3.3) quanto Alta Direção (3.4), enquanto algumas organizações não têm responsabilidade
dividida em vários órgãos. Estas variações, tanto com respeito à organização como às responsabilidades,
podem ser consideradas quando aplicados os requisitos da Seção 5.
3.5
função de compliance
pessoa(s) com responsabilidade e autoridade para a gestão de compliance
3.6
sistema de gestão
conjunto de elementos inter-relacionados ou interativos de uma organização (3.1), para estabelecer
políticas (3.7), objetivos (3.8) e processos (3.9) para alcançar estes objetivos
Nota 1 de entrada: Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas.
Nota 3 de entrada: O escopo de um sistema de gestão pode incluir a totalidade da organização, funções e
seções específicas e identificadas da organização, ou uma ou mais funções executadas por mais de uma
organização.
3.7
política
intenções e direção de uma organização (3.1), como formalmente expressas pela sua Alta Direção
(3.4) ou por seu Órgão Diretivo (3.3), se existir
3.8
objetivo
resultado a ser alcançado
Nota 2 de entrada: Objetivos podem se relacionar a diferentes disciplinas (como finanças, saúde e segurança,
e metas ambientais) e podem se referir a diferentes níveis [como estratégico, de toda a organização, projeto,
produto e processo (3.9)].
Nota 3 de entrada: Um objetivo pode ser expresso de outras formas, como, por exemplo, como um resultado
pretendido, um propósito, um critério operacional, um objetivo de compliance ou pelo uso de outras palavras
com significado semelhante (por exemplo, finalidade, meta ou alvo).
Nota 4 de entrada: No contexto dos sistemas de gestão de compliance, os objetivos de compliance são
definidos pela organização, de acordo com a política de compliance, para alcançar os resultados específicos.
3.9
processo
conjunto de atividades inter-relacionadas ou interativas que transforma entradas em saídas
Projeto em Consulta Nacional
3.10
risco
efeito da incerteza nos objetivos (3.8)
Nota 1 de entrada: Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos.
Um efeito pode surgir como um resultado de uma resposta, ou falha em responder, a uma oportunidade
ou a uma ameaça relacionada a objetivos.
Nota 2 de entrada: Objetivos podem possuir diferentes aspectos e categorias, e podem ser aplicados
em diferentes níveis.
Nota 3 de entrada: Risco é normalmente expresso em termos de fontes de risco, eventos potenciais, suas
consequências e suas probabilidades.
[FONTE: ISO Guia 73:2009, 1.1, modificado - As cinco Notas originais foram modificadas]
3.11
risco de compliance
risco relacionado com os objetivos de compliance
Nota 1 de entrada: Risco de compliance pode ser expresso em termos da combinação das consequências
de não compliance (3.17) com a obrigação de compliance (3.15) e da probabilidade associada de ocorrência.
3.12
requisito
necessidade ou expectativa que é declarada, geralmente implícita ou obrigatória
Nota 1 de entrada: “Geralmente implícita” significa que é costume ou prática comum para a organização
e para as partes interessadas que a necessidade ou expectativa sob consideração seja implícita.
Nota 2 de entrada: Um requisito especificado é aquele que é declarado, por exemplo, em informação
documentada.
3.13
requisito de compliance
condição que uma organização (3.1) tem que cumprir
3.14
compromisso de compliance
requisito (3.12) que uma organização (3.1) decide cumprir
3.15
obrigação de compliance
requisito de compliance (3.13) ou compromisso de compliance (3.14)
3.16
compliance
atendimento de todas as obrigações de compliance da organização (3.1)
Nota 1 de entrada: O compliance torna-se sustentado quando incorporado na cultura de uma organização
(3.1), bem como no comportamento e na atitude de pessoas que trabalham para ela.
Projeto em Consulta Nacional
3.17
não compliance
não atendimento de uma obrigação de compliance da organização
3.18
cultura de compliance
valores, ética e crenças que existem em toda a organização (3.1) e interagem com as estruturas
da organização, processos e sistemas de controle, para produzir normas de comportamento que são
favoráveis aos resultados de compliance (3.16)
3.19
código
declaração de práticas desenvolvidas internamente ou por um órgão internacional, nacional ou indus-
trial, ou outra organização (3.1)
3.20
normas organizacionais e empresariais
códigos (3.19), boas práticas, estatutos e Normas técnicas e empresariais documentados, conside-
rados pertinentes por uma organização (3.1)
3.21
autoridade regulamentadora
organização (3.1) responsável por regulamentar ou exigir compliance (3.16) com os requisitos (3.12)
legislativos e outros requisitos (3.12)
3.22
competência
capacidade de aplicar conhecimentos e habilidades para alcançar os resultados pretendidos
3.23
informação documentada
informação requerida para ser controlada e mantida por uma organização (3.1) e o meio no qual ela
está contida
Nota 1 de entrada: A informação documentada pode estar em qualquer formato ou meio e ser proveniente
de qualquer fonte.
3.24
procedimento
forma especificada de executar uma atividade ou um processo (3.9)
3.25
desempenho
Projeto em Consulta Nacional
resultado mensurável
Nota 2 de entrada: O desempenho pode se relacionar à gestão das atividades, processos (3.9), produtos
(incluindo serviços), sistemas ou organizações (3.1).
3.26
melhoria contínua
atividade recorrente para elevar o desempenho (3.25)
3.27
terceirizar
fazer um arranjo onde uma organização (3.1) externa desempenha parte de uma função ou processo
(3.9) de uma organização
Nota 1 de entrada: Uma organização externa está fora do sistema de gestão (3.6), embora a função tercei-
rizada ou processo esteja dentro do escopo.
3.28
monitoramento
determinação da situação de um sistema, um processo (3.9) ou uma atividade
Nota 1 de entrada: Para determinar a situação, pode haver necessidade de verificar, supervisionar ou obser-
var criticamente.
Nota 2 de entrada: O monitoramento não é uma atividade que ocorre uma só vez, mas um processo de obser-
vação regular ou contínua de uma situação.
3.29
medição
processo (3.9) para determinar um valor
3.30
auditoria
processo (3.9) sistemático, independente e documentado para obter evidência objetiva e para
avaliá-la objetivamente, para determinar a extensão na qual os critérios de auditoria são atendidos
Nota 1 de entrada: Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa
(segunda parte ou terceira parte), e pode ser uma auditoria combinada (combinando duas ou mais disciplinas).
Nota 2 de entrada: “Evidência de auditoria” e “critérios de auditoria” são definidos na ABNT NBR ISO 19011.
Nota 3 de entrada: A independência pode ser demonstrada pela ausência de responsabilidade em relação
à atividade que está sendo auditada ou pela ausência de preconceitos e conflitos de interesse.
3.31
conformidade
atendimento a um requisito (3.12)
3.32
não conformidade
não atendimento a um requisito (3.12)
3.33
correção
Projeto em Consulta Nacional
ação para eliminar uma não conformidade (3.32) identificada ou uma não compliance (3.17)
3.34
ação corretiva
ação para eliminar a causa de uma não conformidade (3.32) ou uma não compliance (3.17), e para
prevenir a recorrência
3.35
pessoal
diretores, administradores, empregados, contratados ou trabalhadores temporários e voluntários
da organização (3.1)
Nota 1 de entrada: Diferentes tipos de pessoal apresentam diferentes tipos e graus de risco de compliance
(3.11), e portanto podem ser tratados diferentemente pela avaliação de riscos de compliance da organização
e pelos procedimentos de gestão de risco de compliance.
3.36
parceiro de negócio
entidade ou pessoa externa com a qual a organização (3.1) tem, ou planeja estabelecer, alguma forma
de relacionamento de negócio
Nota 1 de entrada: Parceiro de negócio inclui, mas não está limitado a clientes, joint ventures, parceiros
de joint ventures, parceiros de consórcio, provedores de terceirização, contratantes, consultores, subcon-
tratados, fornecedores, vendedores, conselheiros, agentes, distribuidores, representantes, intermediários e
investidores. Esta definição é deliberadamente ampla e deve ser interpretada em consonância com o perfil
de risco de compliance da organização para aplicar aos parceiros de negócio que podem razoavelmente
expor a organização a riscos de compliance.
Nota 2 de entrada: Diferentes tipos de parceiro de negócio apresentam diferentes tipos e graus de risco
de compliance (3.11), e uma organização (3.1) terá diferentes graus de capacidade para influenciar os
diferentes tipos de parceiro de negócio. Diferentes tipos de parceiro de negócio podem, portanto, ser tratados
diferentemente pela avaliação de riscos de compliance da organização e pelos procedimentos de gestão
de risco de compliance.
Nota 3 de entrada: Referência a “negócios” neste Documento pode ser interpretado de forma ampla para
significar aquelas atividades que são pertinentes ao propósito da existência da organização.
3.37
agente público
pessoa detentora de cargo legislativo, administrativo ou judicial, seja por nomeação, eleição ou
sucessão, ou qualquer pessoa que exerça uma função pública, inclusive para um órgão público ou uma
empresa pública, ou qualquer agente ou oficial de uma organização pública nacional ou internacional,
ou qualquer candidato a cargo público
3.38
terceira parte
pessoa ou órgão que é independente da organização
Nota 1 de entrada: Todos os parceiros de negócio são terceiras partes mas nem todas as terceiras partes
são parceiros de negócio.
3.39
conflito de interesse
situação onde os negócios, finanças, famílias, interesses políticos ou pessoais podem interferir no
julgamento de pessoas, no exercício das suas funções para a organização
3.40
Projeto em Consulta Nacional
due diligence
processo (3.9) para aprofundar a avaliação da natureza e a extensão dos riscos de compliance (3.11)
e ajudar as organizações (3.1) a tomar decisões em relação a transações, projetos, atividades,
parceiros de negócio, pessoal, processos, iniciativas, cadeias de fornecimento, produtos e serviços
4 Contexto da organização
4.1 Entendendo a organização e seu contexto
A organização deve determinar as questões internas e externas que são pertinentes para o seu propó-
sito e que afetam sua capacidade de alcançar os objetivos do seu sistema de gestão de compliance.
Estas questões incluem, sem limitação, os seguintes fatores:
e) entidades sobre as quais a organização tenha controle e entidades que exerçam controle sobre
a organização;
NOTA 1 Uma organização tem controle sobre outra organização se ela controlar direta ou indiretamente
a gestão da organização.
NOTA 2 Questões podem incluir fatores ou condições positivas e negativas para consideração.
NOTA 3 O entendimento do contexto externo pode ser facilitado pela consideração de questões prove-
nientes dos ambientes legal, tecnológico, competitivo, de mercado, cultural, social e econômico, tanto inter-
nacionais quanto nacionais, regionais ou locais.
NOTA 4 O entendimento do contexto interno pode ser facilitado pela consideração de questões relativas
a valores, cultura, conhecimento e desempenho da organização.
NOTA Na identificação dos requisitos das partes interessadas, uma organização pode distinguir entre requi-
sitos mandatórios, as expectativas não mandatórias e os compromissos voluntários das partes interessadas.
O sistema de gestão de compliance deve conter controles concebidos para tratar o risco de compliance,
bem como prevenir, detectar e reagir ao descumprimento da política de compliance e do sistema de
gestão de compliance.
O sistema de gestão de compliance deve ser razoável e proporcional, levando-se em conta os fatores
referidos em 4.3. O sistema de gestão de compliance deve refletir os valores, objetivos, estratégia
e riscos de compliance da organização.
O sistema de gestão de compliance deve estar de acordo com os requisitos da ABNT NBR ISO 37001.
—— leis e regulamentos;
As organizações devem dispor de processos para identificar novas leis e alterações de leis, regula-
mentos, códigos e outras obrigações de compliance para assegurar a sua continuidade.
As organizações devem ter processos para avaliar o impacto das mudanças identificadas e para
implementar quaisquer mudanças na gestão das obrigações de compliance.
NOTA Este documento leva em consideração o conceito amplo de compliance, contemplando não apenas
as questões de combate à corrupção e ao suborno, como também:
a) o cumprimento de todas as obrigações legais que a organização tem de atender, como, por exemplo,
a legislação trabalhista e as leis relativas ao meio ambiente;
c) os requisitos e compromissos que a organização decide cumprir, a exemplo dos códigos de conduta
internos, Normas Técnicas, regimentos internos e das políticas e procedimentos do seu sistema de gestão
de compliance;
c) avaliar a adequação e eficácia dos controles existentes da organização para tratar os riscos
de compliance avaliados.
4.6.2 A organização deve estabelecer critérios para avaliar seu nível de risco de compliance,
que deve levar em conta as políticas e os objetivos da organização.
Projeto em Consulta Nacional
a) em intervalos regulares, de modo que mudanças e novas informações possam ser apropriada-
mente avaliadas com base no tempo e frequência definidos pela organização;
4.6.4 A organização deve reter informação documentada que demonstre que o processo de ava-
liação de riscos de compliance tem sido realizado e usado para conceber ou melhorar o sistema
de gestão de compliance.
NOTA 2 A abordagem baseada no risco para a gestão de compliance não significa que, para situações
de baixo risco de compliance, o não cumprimento seja aceito pela organização. Ela auxilia as organizações
a focarem a atenção e os recursos primários nos riscos mais elevados como uma prioridade e, finalmente,
irá cobrir todos os riscos de compliance. Todos os riscos/situações de compliance identificados estão sujeitos
a monitoramento, correção e ação corretiva.
NOTA 3 A ABNT NBR ISO 31000 fornece orientações detalhadas sobre a avaliação de riscos.
5 Liderança
5.1 Liderança e comprometimento
Quando a organização tem um Órgão Diretivo, este órgão deve demonstrar liderança e comprome-
timento em relação ao sistema de gestão de compliance para:
A Alta Direção deve demostrar liderança e comprometimento com relação ao sistema de gestão
de compliance para:
g) dirigir e apoiar o pessoal para contribuir com a eficácia do sistema de gestão de compliance;
j) apoiar outros papéis pertinentes da gestão para demostrar como sua liderança na prevenção e
detecção do não cumprimento da política de compliance, ou do sistema de gestão de compliance,
se aplica às áreas sob sua responsabilidade;
l) assegurar que o pessoal não sofra retaliação, discriminação ou ação disciplinar (ver 7.2.2.1-d),
por relatos feitos de boa-fé ou com base em uma razoável convicção de violação ou suspeita
de violação da política de compliance da organização, ou por se recusar a descumprir a política
de compliance ou o sistema de gestão de compliance, mesmo que tal recusa possa resultar na
perda de um negócio para a organização;
m) reportar para o Órgão Diretivo (se existir), a intervalos planejados, sobre o conteúdo e operação
do sistema de gestão de compliance e de alegações de má conduta ou de violação ao sistema de
gestão de compliance, seja sistemático ou grave;
O Órgão Diretivo e a Alta Direção devem estabelecer, manter e analisar criticamente uma política
de compliance que:
voluntários assumidos;
c) proveja uma estrutura para estabelecer, analisar criticamente e alcançar os objetivos de compliance;
f) defina o grau em que o compliance será incorporado nas políticas, procedimentos e processos;
g) que estabeleça o padrão de conduta e a responsabilização por prestar contas conforme requerido;
—— ser comunicada nos idiomas apropriados dentro da organização e também para os parceiros de
negócio que representem um risco de compliance;
—— ser atualizada, conforme requerido, para assegurar que ela permaneça irrelevante;
A Alta Direção deve ter total responsabilidade pela implementação, cumprimento e conformidade
com o sistema de gestão de compliance, conforme descrito em 5.1.2.
A Alta Direção deve assegurar que as responsabilidades e as autoridades para os papéis relevantes
sejam atribuídas e comunicadas dentro e em todos os níveis da organização.
Gestores de todos os níveis devem ser responsáveis por requerer que os requisitos do sistema de
gestão de compliance sejam aplicados e cumpridos nos seus departamentos ou funções.
O Órgão Diretivo (se existir), a Alta Direção e todo o pessoal devem ser responsáveis por entender,
cumprir e aplicar os requisitos do sistema de gestão de compliance que se referem aos seus papéis
na organização.
A Alta Direção deve atribuir a uma função de compliance a responsabilidade e a autoridade para:
k) identificar riscos de compliance e gestão destes riscos de compliance relativos aos parceiros de
negócio, como, por exemplo, os fornecedores, agentes, distribuidores, consultores e contratados.
A função de compliance deve ser adequadamente provida de recursos e atribuída à(s) pessoa(s) que
tenha(m) competência, posição, autoridade e independência apropriadas.
A função de compliance deve ter acesso direto e imediato ao Órgão Diretivo (se existir) e à Alta
Direção, caso qualquer questão ou preocupação necessite ser levantada em relação ao sistema de
gestão de compliance.
A Alta Direção pode atribuir alguma ou toda a função de compliance a pessoas externas à organização.
Neste caso, a Alta Direção deve assegurar que pessoal específico tenha responsabilidade e autoridade
sobre aquelas partes da função, atribuídas externamente.
Onde a Alta Direção delegar para o pessoal a autoridade para tomar decisões em relação às quais
existe um risco de compliance, a organização deve estabelecer e manter um processo de tomada de
decisão ou um conjunto de controles que requeira que o processo de decisão e o nível de autoridade
do(s) tomador(es) da decisão sejam apropriados e livres de conflitos de interesse reais ou potenciais.
Projeto em Consulta Nacional
A Alta Direção deve assegurar que estes processos sejam periodicamente analisados criticamente e
como parte do seu papel e responsabilidade para a implementação e a conformidade e o cumprimento
com o sistema de gestão de compliance descrito em 5.3.1.
NOTA O(s) tomador(es) da decisão não exime a Alta Direção ou o Órgão Diretivo (se existir) das suas
obrigações e responsabilidades, como descritas em 5.1.1, 5.1.2 e 5.3.1, nem necessariamente serão trans-
feridas potenciais responsabilidades legais para o pessoal delegado.
a) aderir às obrigações de compliance da organização, que são relevantes para a sua posição e
atribuições;
6 Planejamento
6.1 Ações para abordar os riscos de compliance
—— garantir que o sistema de gestão de compliance atinja o(s) seu(s) resultado(s) pretendido(s);
A organização deve reter informação documentada sobre as ações planejadas para abordar os riscos
de compliance.
d) ser monitorados;
7 Apoio
7.1 Recursos
A Alta Direção e todos os outros níveis de direção devem assegurar que os recursos necessários
sejam implementados de forma eficaz, para assegurar que o sistema de gestão de compliance atenda
aos seus objetivos e que o compliance seja alcançado.
7.2 Competência
7.2.1 Generalidades
A organização deve:
a) determinar as competências necessárias de pessoas que realizam trabalho sob o seu controle
Projeto em Consulta Nacional
b) assegurar que essas pessoas sejam competentes, com base em educação, treinamento e/ou
experiência apropriados;
c) onde aplicável, tomar ações para adquirir e manter a competência necessária e avaliar a eficácia
das ações tomadas;
b) dentro de um período de tempo razoável após o início da sua contratação, o pessoal receba uma
cópia ou que seja fornecido acesso à política de compliance e treinamento em relação a essa política;
c) a organização tenha procedimentos que permitam tomar ações disciplinares apropriadas contra
o pessoal que viole a política de compliance ou o sistema de gestão de compliance;
d) o pessoal não sofra retaliação, discriminação ou ações disciplinares (por exemplo, ameaças,
isolamento, rebaixamento, impedimento de promoção, transferência, demissão, assédio, vitimi-
zação ou outras formas de intimidação) por:
2) preocupações levantadas ou relatos feitos de boa-fé ou com base em uma convicção razoável
de tentativas, reais ou suspeitas, de violação da política de compliance ou do sistema de
gestão de compliance (exceto nos casos em que o indivíduo participou da violação).
Em relação a todas as posições que estão expostas a um risco de compliance, como determinado
no processo de avaliação de risco de compliance (ver 4.5), e à função de compliance, a organização
deve implementar procedimentos que prevejam que:
a) a due diligence seja conduzida nas pessoas antes de elas serem contratadas, e no pessoal antes
de serem transferidos ou promovidos pela organização, para verificar, tanto quanto possível, se é
apropriado contratá-los ou realocá-los e se é razoável acreditar que eles cumprirão a política de
compliance e os requisitos do sistema de gestão de compliance;
c) o pessoal, a Alta Direção e o Órgão Diretivo (se existir) firmem uma declaração a intervalos razoá-
Projeto em Consulta Nacional
7.3.1 Generalidades
7.3.1.3 O treinamento deve ser adaptado às obrigações e aos riscos de compliance relacionados com
os papéis e responsabilidades do pessoal, realizado por ocasião da sua admissão na organização,
alinhado com o programa e treinamento corporativo e incorporado nos planos de treinamentos anuais.
d) mudanças nas obrigações de compliance, especialmente nos requisitos legais ou das partes
interessadas;
7.3.1.5 Levando-se em conta os riscos de compliance identificados (ver 4.6), a organização deve
também implementar procedimentos abordando a conscientização e o treinamento na política de
compliance e no sistema de gestão de compliance para os parceiros de negócio que atuam em
nome da organização ou para o seu benefício, e que podem representar um risco de compliance
para a organização. Estes procedimentos devem identificar os parceiros de negócio para os quais
a conscientização e o treinamento sejam necessários, seu conteúdo e os meios pelos quais o treina-
mento deve ser fornecido.
NOTA Os requisitos de conscientização e treinamento para os parceiros de negócio podem ser comuni-
cados por meio de requisitos contratuais ou similares, e ser implementados pela organização, pelo parceiro
de negócio ou por outras partes indicadas para este propósito.
7.3.2 Comportamento
O comportamento que cria e apoia o compliance deve ser incentivado e o comportamento que com-
promete o compliance não pode ser tolerado.
b) criar um ambiente onde o relato de não cumprimento com a política de compliance e com o
sistema de gestão de compliance seja incentivado, assegurando que o pessoal que fez o relato
estará a salvo de retaliação;
c) incentivar o pessoal a fazer sugestões que facilitem a melhoria contínua do desempenho de compliance;
d) assegurar que o compliance seja incorporado às iniciativas mais amplas da cultura e da mudança
da cultura organizacional, incluindo os sistemas de avaliação de desempenho e reconhecimento;
7.4 Comunicação
b) quando comunicar;
d) como comunicar;
7.4.2 A política de compliance deve estar disponível para todo o pessoal da organização e aos
parceiros de negócio, ser comunicada diretamente tanto para o pessoal quanto para os parceiros de
negócio que representem um risco de compliance , e deve ser publicada por meio de todos os canais
de comunicação, internos e externos, da organização, conforme apropriado.
7.5.1 Generalidades
b) informação documentada determinada pela organização como sendo necessária para a eficácia
do sistema de gestão de compliance.
NOTA A extensão da informação documentada para um sistema de gestão de compliance pode diferir
de uma organização para outra, devido:
a) a identificação e descrição (por exemplo, um título, data, autor, ou referência ou número da versão);
b) o formato (por exemplo, linguagem, versão do software, gráficos) e meios (por exemplo, papel, eletrônico);
A informação documentada requerida pelo sistema de gestão de compliance e por este Documento
deve ser controlada para assegurar que:
a) esta esteja disponível, acessível e adequada para uso, onde e quando for necessário;
b) esta esteja protegida adequadamente (por exemplo, perda de confidencialidade, uso impróprio
ou perda de integridade).
NOTA 1 Quando a informação documentada for preparada com a finalidade de obtenção de aconselha-
mento jurídico ou de ser prova judicial, convém que seja tratada respeitando-se as questões de privilégio
legal e de segredo de justiça, quando aplicável.
NOTA 2 O acesso implica uma decisão quanto à permissão para ver somente a informação documentada,
ou a permissão e autoridade para ver e alterar a informação documentada etc.
8 Operação
8.1 Planejamento e controle operacionais
Se houver qualquer terceirização das atividades da organização, é requerida para este caso a
realização de uma due diligence para assegurar o cumprimento com as politicas e procedimentos de
Projeto em Consulta Nacional
compliance da organização. Os controles sobre parceiros de negócio também devem estar em vigor
para assegurar que o contrato seja cumprido de forma eficaz.
A organização deve considerar os riscos de compliance relacionados com os processos de terceira parte.
Quando o processo de avaliação dos riscos de compliance da organização, for realizado conforme
descrito em 4.6, avaliar que existe um risco de compliance maior do que o que a organização está
disposta a aceitar em relação a:
A due diligence deve ser atualizada em uma frequência definida para que as alterações e novas
informações possam ser levadas em consideração apropriadamente.
NOTA A organização pode concluir que é desnecessário, não razoável ou desproporcional realizar a
due diligence em certas categorias de pessoal e parceiros de negócio, elos da cadeia de fornecimento,
atividades, processos, iniciativas, produtos e serviços.
9 Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação
c) os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para assegurar
resultados válidos;
A organização deve reter informação documentada apropriada como evidência dos métodos e dos
resultados.
Projeto em Consulta Nacional
9.2.1 A organização deve conduzir auditorias internas a intervalos planejados, para prover as
seguintes informações sobre se o sistema de gestão de compliance:
NOTA 1 Orientações sobre sistemas de gestão de auditoria são fornecidas na ABNT NBR ISO 19011.
NOTA 2 O escopo e a escala das atividades da auditoria interna da organização podem variar, dependendo
de uma variedade de fatores, incluindo o tamanho da organização, a estrutura, a maturidade e as localizações.
d) assegurar que os resultados das auditorias sejam reportados para a gerência pertinente, a função
de compliance, Alta Direção e, como apropriado, ao Órgão Diretivo (se existir);
9.2.3 Estas auditorias devem ser razoáveis, proporcionais e baseadas em risco. Estas auditorias
devem consistir em processos de auditoria interna ou outros procedimentos que analisem critica-
mente, procedimentos, controles e sistemas relativos a:
b) a função de compliance (a menos que o escopo da auditoria inclua uma avaliação do próprio sistema
Projeto em Consulta Nacional
c) uma pessoa apropriada de um departamento ou outra função diferente daquela que está sendo
auditada;
A organização deve assegurar que nenhum auditor audite sua própria área de trabalho.
9.3 Análise Crítica pela Alta Direção e pelo Órgão Diretivo (se existir)
A Alta Direção deve analisar criticamente o sistema de gestão de compliance da organização, a inter-
valos planejados, para assegurar a sua contínua adequação, suficiência e eficácia.
b) mudanças em questões externas e internas que sejam pertinentes para o sistema de gestão
de compliance;
3) resultados de auditoria;
5) investigações;
e) oportunidades para melhoria contínua do sistema de gestão de compliance, como referido em 10.2.
As saídas da análise crítica pela Alta Direção devem incluir decisões relacionadas com oportunidades
para melhoria contínua e qualquer necessidade de mudanças no sistema de gestão de compliance.
Um resumo dos resultados da análise crítica pela Alta Direção deve ser reportado ao Órgão Diretivo
(se existir).
A organização deve reter informação documentada como evidência dos resultados de análises críticas
pela Alta Direção.
O Órgão Diretivo (se existir) deve conduzir análises críticas periódicas do sistema de gestão de
Projeto em Consulta Nacional
compliance, baseadas na informação fornecida pela Alta Direção e pela função de compliance,
e qualquer outra informação que o Órgão Diretivo solicite ou obtenha.
A organização deve reter as informações documentadas resumidas como evidência dos resultados
das análises críticas pelo Órgão Diretivo.
A função de compliance deve avaliar, a intervalos planejados se o sistema de gestão de compliance está:
A função de compliance deve reportar a intervalos planejados e em uma base ad hoc, como apro-
priado, para o Órgão Diretivo (se existir) e para a Alta Direção, ou para um comitê adequado
do Órgão Diretivo ou da Alta Direção, sobre a adequação e implementação do sistema de gestão
de compliance, incluindo os resultados de investigações e auditorias.
NOTA 1 A frequência destes relatórios depende dos requisitos da organização, mas é recomendado que seja
pelo menos anual.
NOTA 2 A organização pode usar um parceiro de negócio para auxiliar na análise crítica, desde que as
observações do parceiro de negócio sejam comunicadas de forma apropriada para a função de compliance,
para a Alta Direção e, como apropriado, para o Órgão Diretivo (se existir).
10 Melhorias
10.1 Não conformidade, não cumprimento e ação corretiva
Quando uma não conformidade e/ou não cumprimento ocorrer, a organização deve:
b) avaliar a necessidade de ações para eliminar as causas fundamentais da não conformidade e/ou
do não cumprimento, a fim de que não se repita ou ocorra em outros lugares, ao:
As ações corretivas devem ser apropriadas aos efeitos das não conformidades e/ou não cumpri-
mentos encontrados.
—— da natureza das não conformidades e/ou não cumprimento e quaisquer ações tomadas subsequentemente;
Bibliografia
[2] ABNT NBR ISO 19011, Diretrizes para auditoria de sistemas de gestão