ABNT/CEE-309

PROJETO ABNT NBR 19601

JUN 2018

Sistemas de gestão de compliance ― Requisitos

APRESENTAÇÃO
1) Este Projeto foi elaborado na Comissão de Estudo Especial de Governança das Organizações
Projeto em Consulta Nacional

(ABNT/CEE-309), com número de Texto-Base 309:000.000-001, nas reuniões de:

27.10.2017 11.12.2017 28.02.2018

25.04.2018 29.05.2018

a) não tem valor normativo.

2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória.

3) Tomaram parte na sua elaboração, participando em no mínimo 30 % das reuniões realizadas

sobre o Texto-Base e aptos a deliberarem na Reunião de Análise da Consulta Nacional:

Participante Representante

A4 QUALITY Rosangela Catunda

ABRAC Jefferson Carvalho
ACSL Antonio Carlos Correia
AUTÔNOMO Marina de Oliveira Frota
AUTÔNOMO Dilma Pimentel
AUTÔNOMO Gisele Vilas Boas
AUTÔNOMO Jorge Guerra
BBTUR Irineu Monteiro de Carvalho
CAVASSIN JAYME ADVOGADOS Clessius Cavassin Jayme
CNI Dirlene Padilha
CPCS Carmen Pilar Zabaleta
CQSI Ariosto Farias Junior
CYMI DO BRASIL Christina Carvalho

© ABNT 2018
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.

NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

EDUCARWEB Pedro Augusto Attab Braga

ELLUX CONSULTORA Michel Epelbaum
EMERJ Paula Fernanda Souza
FIRJAN Luana Palmieri F. Pagani
Projeto em Consulta Nacional

FIRJAN Taís Ornellas G. Candido

FUNCEF Mary Socorro de Oliveira Gurgel
GRISCOM Rosemary F. Vianna
IBGC Luiz Fernando da Costa Dalla Martha
IBP Nilda Ribeiro Mamede
INMETRO Luiz Carlos Arigony
LLOYDS REGISTER Adilson de Brito Farias
MANFREDI ADVISORS Claudio Manfredi
OFICINA DE PROCESSOS Cristiano Pernichelli
PIERACCIANI Claudio Massato Mori
PIERACCIANI Marina Moraes
PLANT Jair Rosa Claudio
QUALITEN QUALITY Lafayette Ulhoa Tenório
S2S Marisselma Santana
SEXTANTE CONSULTORIA José Augusto Pinto de Abreu
VEXSEA AUDITORES INDEPENDENTES Elcio Coutinho Vieira
WFARIA Albert Bayer

NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

Sistemas de gestão de compliance ― Requisitos

Compliance management system ― Requirements

Projeto em Consulta Nacional

Prefácio

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.

As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB),
dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais
(ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas
no tema objeto da normalização.

Os Documentos Técnicos ABNT são elaborados conforme as regras da ABNT Diretiva 2.

A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).

Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos.
Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras
datas para exigência dos requisitos desta Norma.

A ABNT NBR 19601 foi elaborada na Comissão de Estudo Especial de Governança das Organizações
(ABNT/CEE-309). O Projeto circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX
a XX.XX.XXXX.

O Escopo em inglês desta Norma Brasileira é o seguinte:

Scope
This Document applies to all organizations (or parts of an organization), regardless of the type,
size and nature of the activity, as well as whether the organization is from the public, private
or nonprofit sector.

This Document establishes the necessary requirements to develop a compliance management

system and the obligations inherent in its implementation in organizations.

NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

Introdução

As organizações que pretendem ser bem-sucedidas em longo prazo precisam manter uma cultura
de integridade e compliance, bem como considerar as necessidades e expectativas das partes inte-
ressadas. Portanto, integridade e compliance não somente são as bases, mas também oportunidades
Projeto em Consulta Nacional

para uma organização se tornar sustentável e bem-sucedida.

O compliance é a consequência de uma organização cumprir as suas obrigações, e é feito de forma

sustentável, sendo incorporando na cultura da organização e no comportamento e na atitude de
pessoas que trabalham para ela. Apesar de manter a sua independência, a gestão de compliance
deve ser integrada aos processos de gestão financeira, de risco, da qualidade, ambiental, de saúde
e segurança da organização e aos seus requisitos e procedimentos operacionais.

O termo compliance no Brasil por vezes é traduzido como “integridade” e também como “cumprimento”.
Contudo, decidiu-se não traduzir o termo para os fins deste Documento em virtude de sua acepção
ser mais ampla. Assim, neste contexto, compliance está relacionado com o ato de cumprir obrigações
e refere-se a uma organização e às suas ações para cumprir ou assegurar o cumprimento das suas
obrigações. Note-se que no Brasil os já mencionados termos “integridade” e “cumprimento” são
também frequentemente utilizados com o sentido de compliance como usado neste Documento.

Um sistema de gestão de compliance eficaz abrangendo toda a organização permite que uma orga-
nização demonstre seu comprometimento com o cumprimento das leis pertinentes, incluindo requi-
sitos legislativos, os compromissos voluntariamente assumidos, códigos da indústria e procedimentos
organizacionais, bem como as normas de boa governança corporativa, boas práticas, ética e expec-
tativas da comunidade.

A abordagem de uma organização quanto ao compliance é moldada pela liderança ao aplicar valores
fundamentais de governança corporativa e padrões éticos e comunitários geralmente aceitos.
Incorporar o compliance no comportamento das pessoas que trabalham para uma organização
depende, sobretudo, da liderança em todos os níveis e da transparência dos valores de uma
organização, bem como de um reconhecimento e implementação de controles para promover um
comportamento compatível. Se não for assim em todos os níveis de uma organização, existe o risco
de não cumprimento da abordagem.

Em muitas jurisdições, os tribunais têm considerado o comprometimento de uma organização com o

compliance, por meio de seu sistema de gestão de compliance, ao determinar a sanção adequada a
ser aplicada por infrações à legislação pertinente. Portanto, os órgãos regulamentadores e judiciais
também podem se beneficiar deste Documento como referência.

As organizações estão cada vez mais convencidas de que, por meio da aplicação de valores acordados
e gestão de compliance, elas podem salvaguardar a sua integridade e evitar ou minimizar o não
cumprimento das suas obrigações. Assim, a integridade e o compliance efetivos são elementos-chave
de uma boa e diligente gestão. O compliance também contribui para o comportamento socialmente
responsável das organizações.

Este Documento especifíca requisitos para o estabelecimento, implementação, manutenção, análise

crítica e melhoria de um sistema de gestão de compliance. O sistema pode ser independente ou pode
ser integrado em um sistema de gestão global.

Ele estabelece requisitos para um sistema de gestão concebido para ajudar uma organização
a cumprir com as leis e regulamentações, incluindo compromissos voluntários aplicáveis às suas
atividades, e dentro dos princípios de uma boa governança baseada na ética, honestidade, integridade,
transparência e sustentabilidade, conforme a Figura 1.

NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

Ética, Integridade
e Transparência
nos Negócios
Projeto em Consulta Nacional

Crescimento
Valores culturais
e Perenidade

Sustentabilidade Confiança pelas

partes interessadas

Figura 1 – Fluxograma com os princípios de uma boa governança

Este Documento tem a mesma estrutura de alto nível, textos centrais idênticos e termos comuns
das Normas ISO de sistemas de gestão.

Estes requisitos incluem uma estrutura de alto nível, textos centrais idênticos e termos comuns
com as definições centrais, concebidas para beneficiar os usuários que implementam múltiplas
normas ISO de sistemas de gestão. Este Documento pode ser usado em conjunto com outras
Normas ISO de sistemas de gestão (por exemplo, ABNT NBR ISO 9001, ABNT NBR ISO 27001 e
ABNT NBR ISO 37001) e com Normas de gestão (por exemplo, ABNT NBR ISO 26000 e
ABNT NBR ISO 31000).

O fluxograma da Figura 2 é consistente com outros sistemas de gestão e se baseia no princípio de

melhoria contínua (“Plan-Do-Check-Act”).

NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

Identificação de
questões externas e
Determinação do escopo

Estabelecer
internas (4.1)
e estabelecimento do Princípios de boa
sistema de gestão de governança (4.4)
compliance (4.3/4.4)
Identificação dos
requisitos das partes
Projeto em Consulta Nacional

interessadas (4.2)

Estabelecimento da
política de compliance

Identificação de obrigações
de compliance e avaliação
de riscos de compliance

Manter Desenvolver
Comprometimento da
liderança, independência Planejamento para
Gestão de não
da função compliance (5.1), abordar riscos de
cumprimentos e da
responsabilidades em compliance e alcançar
melhoria contínua (10)
todos os níveis (5.3). objetivos (6)
Funções de suporte (7)

Avaliar Implementar
Melhorar

Avaliação de Planejamento
desempenho e operacional e
relatório de controle dos riscos
compliance (9) de compliance (8)

Figura 2 – Fluxograma de um sistema de gestão de compliance

NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

Sistemas de gestão de compliance ― Requisitos

1 Escopo
Projeto em Consulta Nacional

Este Documento é aplicável a todas as organizações (ou partes de uma organização), independen-
temente do tipo, tamanho e natureza da atividade, bem como se a organização é do setor público,
privado ou sem fins lucrativos.

Este Documento estabelece os requisitos necessários para elaborar um sistema de gestão de

compliance e as obrigações inerentes a sua implementação nas organizações.

2 Referência normativa
O documento a seguir é citados no texto de tal forma que seu conteúdo, total ou parcial, constituem
requisitos para este Documento. Para referências datadas, aplicam-se somente as edições citadas.
Para referências não datadas, aplicam-se as edições mais recentes do referido documento (incluindo
emendas).

ABNT NBR ISO 37001, Sistemas de gestão antissuborno – Requisitos com orientações para o uso

3 Termos e definições
Para os efeitos deste documento, aplicam-se os seguintes termos e definições.

3.1
organização
pessoa ou grupo de pessoas que têm suas próprias funções, com responsabilidades, autoridades
e relações para alcançar seus objetivos (3.8)

Nota 1 de entrada: O conceito de organização inclui, mas não é limitado a empreendedor individual, companhia,
corporação, firma, empresa, autoridade, parceria, instituição de caridade, ou parte ou combinação destas,
seja incorporada ou não, pública ou privada.

Nota 2 de entrada: Para organizações com mais de uma unidade operacional, uma ou mais unidades
operacionais podem ser definidas como uma organização.

3.2
parte interessada (stakeholder)
pessoa ou organização (3.1) que pode afetar ou ser afetada por uma decisão ou atividade

Nota 1 de entrada: Uma parte interessada pode ser interna ou externa à organização.

3.3
Órgão Diretivo
pessoa ou grupo de pessoas que governa uma organização (3.1), dá direção e ao qual a Alta Direção
(3.4) se reporta, e perante o qual a Alta Direção é responsabilizada

Nota 1 de entrada: Nem todas as organizações, particularmente organizações pequenas, têm um Órgão
Diretivo separado da Alta Direção (ver 3.4, Nota 3 de entrada).

NÃO TEM VALOR NORMATIVO 1/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

Nota 2 de entrada: Um Órgão Diretivo pode incluir, porém não está limitado a, o conselho de administração,
os comitês do conselho de supervisão, os curadores ou os supervisores.

Nota 3 de entrada: O conselho de supervisão é também conhecido como conselho fiscal.

3.4
Alta Direção
Projeto em Consulta Nacional

pessoa ou grupo de pessoas que dirige e controla uma Organização (3.1) no nível mais alto

Nota 1 de entrada: A Alta Direção tem o poder de delegar autoridade e prover recursos na organização.

Nota 2 de entrada: Se o escopo do sistema de gestão (3.6) cobrir apenas parte de uma organização,
então a Alta Direção se refere àqueles que dirigem e controlam aquela parte da organização.

Nota 3 de entrada: Organizações podem ser estruturadas dependendo do marco legal sob o qual são
obrigadas a operar e também de acordo com o seu porte, setor etc. Algumas organizações tem tanto
Órgão Diretivo (3.3) quanto Alta Direção (3.4), enquanto algumas organizações não têm responsabilidade
dividida em vários órgãos. Estas variações, tanto com respeito à organização como às responsabilidades,
podem ser consideradas quando aplicados os requisitos da Seção 5.

3.5
função de compliance
pessoa(s) com responsabilidade e autoridade para a gestão de compliance

3.6
sistema de gestão
conjunto de elementos inter-relacionados ou interativos de uma organização (3.1), para estabelecer
políticas (3.7), objetivos (3.8) e processos (3.9) para alcançar estes objetivos

Nota 1 de entrada: Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas.

Nota 2 de entrada: Os elementos do sistema de gestão incluem a estrutura da organização, papéis e

responsabilidades, planejamento e operação.

Nota 3 de entrada: O escopo de um sistema de gestão pode incluir a totalidade da organização, funções e
seções específicas e identificadas da organização, ou uma ou mais funções executadas por mais de uma
organização.

3.7
política
intenções e direção de uma organização (3.1), como formalmente expressas pela sua Alta Direção
(3.4) ou por seu Órgão Diretivo (3.3), se existir

3.8
objetivo
resultado a ser alcançado

Nota 1 de entrada: Um objetivo pode ser estratégico, tático e/ou operacional.

Nota 2 de entrada: Objetivos podem se relacionar a diferentes disciplinas (como finanças, saúde e segurança,
e metas ambientais) e podem se referir a diferentes níveis [como estratégico, de toda a organização, projeto,
produto e processo (3.9)].

Nota 3 de entrada: Um objetivo pode ser expresso de outras formas, como, por exemplo, como um resultado
pretendido, um propósito, um critério operacional, um objetivo de compliance ou pelo uso de outras palavras
com significado semelhante (por exemplo, finalidade, meta ou alvo).

2/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

Nota 4 de entrada: No contexto dos sistemas de gestão de compliance, os objetivos de compliance são
definidos pela organização, de acordo com a política de compliance, para alcançar os resultados específicos.

3.9
processo
conjunto de atividades inter-relacionadas ou interativas que transforma entradas em saídas
Projeto em Consulta Nacional

3.10
risco
efeito da incerteza nos objetivos (3.8)

Nota 1 de entrada: Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos.
Um efeito pode surgir como um resultado de uma resposta, ou falha em responder, a uma oportunidade
ou a uma ameaça relacionada a objetivos.

Nota 2 de entrada: Objetivos podem possuir diferentes aspectos e categorias, e podem ser aplicados
em diferentes níveis.

Nota 3 de entrada: Risco é normalmente expresso em termos de fontes de risco, eventos potenciais, suas
consequências e suas probabilidades.

[FONTE: ISO Guia 73:2009, 1.1, modificado - As cinco Notas originais foram modificadas]

3.11
risco de compliance
risco relacionado com os objetivos de compliance

Nota 1 de entrada: Risco de compliance pode ser expresso em termos da combinação das consequências
de não compliance (3.17) com a obrigação de compliance (3.15) e da probabilidade associada de ocorrência.

3.12
requisito
necessidade ou expectativa que é declarada, geralmente implícita ou obrigatória

Nota 1 de entrada: “Geralmente implícita” significa que é costume ou prática comum para a organização
e para as partes interessadas que a necessidade ou expectativa sob consideração seja implícita.

Nota 2 de entrada: Um requisito especificado é aquele que é declarado, por exemplo, em informação
documentada.

3.13
requisito de compliance
condição que uma organização (3.1) tem que cumprir

3.14
compromisso de compliance
requisito (3.12) que uma organização (3.1) decide cumprir

3.15
obrigação de compliance
requisito de compliance (3.13) ou compromisso de compliance (3.14)

NÃO TEM VALOR NORMATIVO 3/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

3.16
compliance
atendimento de todas as obrigações de compliance da organização (3.1)

Nota 1 de entrada: O compliance torna-se sustentado quando incorporado na cultura de uma organização
(3.1), bem como no comportamento e na atitude de pessoas que trabalham para ela.
Projeto em Consulta Nacional

3.17
não compliance
não atendimento de uma obrigação de compliance da organização

3.18
cultura de compliance
valores, ética e crenças que existem em toda a organização (3.1) e interagem com as estruturas
da organização, processos e sistemas de controle, para produzir normas de comportamento que são
favoráveis aos resultados de compliance (3.16)

3.19
código
declaração de práticas desenvolvidas internamente ou por um órgão internacional, nacional ou indus-
trial, ou outra organização (3.1)

Nota 1 de entrada: O código pode ser obrigatório ou voluntário.

3.20
normas organizacionais e empresariais
códigos (3.19), boas práticas, estatutos e Normas técnicas e empresariais documentados, conside-
rados pertinentes por uma organização (3.1)

3.21
autoridade regulamentadora
organização (3.1) responsável por regulamentar ou exigir compliance (3.16) com os requisitos (3.12)
legislativos e outros requisitos (3.12)

3.22
competência
capacidade de aplicar conhecimentos e habilidades para alcançar os resultados pretendidos

3.23
informação documentada
informação requerida para ser controlada e mantida por uma organização (3.1) e o meio no qual ela
está contida

Nota 1 de entrada: A informação documentada pode estar em qualquer formato ou meio e ser proveniente
de qualquer fonte.

Nota 2 de entrada: A informação documentada pode se referir a:

—— sistema de gestão (3.6), incluindo processos (3.9) relacionados;

—— informação criada para que a organização opere (documentação);

—— evidência de resultados alcançados (registros).

4/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

3.24
procedimento
forma especificada de executar uma atividade ou um processo (3.9)

3.25
desempenho
Projeto em Consulta Nacional

resultado mensurável

Nota 1 de entrada: O desempenho pode se relacionar tanto às constatações quantitativas quanto às

qualitativas.

Nota 2 de entrada: O desempenho pode se relacionar à gestão das atividades, processos (3.9), produtos
(incluindo serviços), sistemas ou organizações (3.1).

3.26
melhoria contínua
atividade recorrente para elevar o desempenho (3.25)

3.27
terceirizar
fazer um arranjo onde uma organização (3.1) externa desempenha parte de uma função ou processo
(3.9) de uma organização

Nota 1 de entrada: Uma organização externa está fora do sistema de gestão (3.6), embora a função tercei-
rizada ou processo esteja dentro do escopo.

3.28
monitoramento
determinação da situação de um sistema, um processo (3.9) ou uma atividade

Nota 1 de entrada: Para determinar a situação, pode haver necessidade de verificar, supervisionar ou obser-
var criticamente.

Nota 2 de entrada: O monitoramento não é uma atividade que ocorre uma só vez, mas um processo de obser-
vação regular ou contínua de uma situação.

3.29
medição
processo (3.9) para determinar um valor

3.30
auditoria
processo (3.9) sistemático, independente e documentado para obter evidência objetiva e para
avaliá-la objetivamente, para determinar a extensão na qual os critérios de auditoria são atendidos
Nota 1 de entrada: Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa
(segunda parte ou terceira parte), e pode ser uma auditoria combinada (combinando duas ou mais disciplinas).

Nota 2 de entrada: “Evidência de auditoria” e “critérios de auditoria” são definidos na ABNT NBR ISO 19011.

Nota 3 de entrada: A independência pode ser demonstrada pela ausência de responsabilidade em relação
à atividade que está sendo auditada ou pela ausência de preconceitos e conflitos de interesse.

3.31
conformidade
atendimento a um requisito (3.12)

NÃO TEM VALOR NORMATIVO 5/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

3.32
não conformidade
não atendimento a um requisito (3.12)

3.33
correção
Projeto em Consulta Nacional

ação para eliminar uma não conformidade (3.32) identificada ou uma não compliance (3.17)

3.34
ação corretiva
ação para eliminar a causa de uma não conformidade (3.32) ou uma não compliance (3.17), e para
prevenir a recorrência

3.35
pessoal
diretores, administradores, empregados, contratados ou trabalhadores temporários e voluntários
da organização (3.1)

Nota 1 de entrada: Diferentes tipos de pessoal apresentam diferentes tipos e graus de risco de compliance
(3.11), e portanto podem ser tratados diferentemente pela avaliação de riscos de compliance da organização
e pelos procedimentos de gestão de risco de compliance.

3.36
parceiro de negócio
entidade ou pessoa externa com a qual a organização (3.1) tem, ou planeja estabelecer, alguma forma
de relacionamento de negócio

Nota 1 de entrada: Parceiro de negócio inclui, mas não está limitado a clientes, joint ventures, parceiros
de joint ventures, parceiros de consórcio, provedores de terceirização, contratantes, consultores, subcon-
tratados, fornecedores, vendedores, conselheiros, agentes, distribuidores, representantes, intermediários e
investidores. Esta definição é deliberadamente ampla e deve ser interpretada em consonância com o perfil
de risco de compliance da organização para aplicar aos parceiros de negócio que podem razoavelmente
expor a organização a riscos de compliance.

Nota 2 de entrada: Diferentes tipos de parceiro de negócio apresentam diferentes tipos e graus de risco
de compliance (3.11), e uma organização (3.1) terá diferentes graus de capacidade para influenciar os
diferentes tipos de parceiro de negócio. Diferentes tipos de parceiro de negócio podem, portanto, ser tratados
diferentemente pela avaliação de riscos de compliance da organização e pelos procedimentos de gestão
de risco de compliance.

Nota 3 de entrada: Referência a “negócios” neste Documento pode ser interpretado de forma ampla para
significar aquelas atividades que são pertinentes ao propósito da existência da organização.

3.37
agente público
pessoa detentora de cargo legislativo, administrativo ou judicial, seja por nomeação, eleição ou
sucessão, ou qualquer pessoa que exerça uma função pública, inclusive para um órgão público ou uma
empresa pública, ou qualquer agente ou oficial de uma organização pública nacional ou internacional,
ou qualquer candidato a cargo público
3.38
terceira parte
pessoa ou órgão que é independente da organização
Nota 1 de entrada: Todos os parceiros de negócio são terceiras partes mas nem todas as terceiras partes
são parceiros de negócio.

6/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

3.39
conflito de interesse
situação onde os negócios, finanças, famílias, interesses políticos ou pessoais podem interferir no
julgamento de pessoas, no exercício das suas funções para a organização

3.40
Projeto em Consulta Nacional

due diligence
processo (3.9) para aprofundar a avaliação da natureza e a extensão dos riscos de compliance (3.11)
e ajudar as organizações (3.1) a tomar decisões em relação a transações, projetos, atividades,
parceiros de negócio, pessoal, processos, iniciativas, cadeias de fornecimento, produtos e serviços

4 Contexto da organização
4.1 Entendendo a organização e seu contexto

A organização deve determinar as questões internas e externas que são pertinentes para o seu propó-
sito e que afetam sua capacidade de alcançar os objetivos do seu sistema de gestão de compliance.
Estas questões incluem, sem limitação, os seguintes fatores:

a) tamanho, estrutura e delegação de autoridade para tomada de decisão da organização;

b) localizações e setores nos quais a organização opera ou antecipa a operação;

c) natureza, escala e complexidade das operações e atividades da organização;

d) modelo de negócio da organização;

e) entidades sobre as quais a organização tenha controle e entidades que exerçam controle sobre
a organização;

f) parceiros de negócio da organização;

g) natureza e extensão das interações com agentes públicos; e

h) obrigações e deveres estatutários, regulatórios, contratuais e profissionais aplicáveis.

NOTA 1 Uma organização tem controle sobre outra organização se ela controlar direta ou indiretamente
a gestão da organização.

NOTA 2 Questões podem incluir fatores ou condições positivas e negativas para consideração.

NOTA 3 O entendimento do contexto externo pode ser facilitado pela consideração de questões prove-
nientes dos ambientes legal, tecnológico, competitivo, de mercado, cultural, social e econômico, tanto inter-
nacionais quanto nacionais, regionais ou locais.

NOTA 4 O entendimento do contexto interno pode ser facilitado pela consideração de questões relativas
a valores, cultura, conhecimento e desempenho da organização.

4.2 Entendendo as necessidades e expectativas das partes interessadas

A organização deve determinar:

a) as partes interessadas que são pertinentes ao sistema de gestão de compliance;

NÃO TEM VALOR NORMATIVO 7/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

b) os requisitos destas partes interessadas.

NOTA Na identificação dos requisitos das partes interessadas, uma organização pode distinguir entre requi-
sitos mandatórios, as expectativas não mandatórias e os compromissos voluntários das partes interessadas.

4.3 Determinando o escopo do sistema de gestão de compliance

Projeto em Consulta Nacional

A organização deve determinar os limites e a aplicabilidade do sistema de gestão de compliance para

estabelecer o seu escopo. Ao determinar esse escopo, a organização deve considerar:

a) as questões externas e internas referidas em 4.1;

b) os requisitos referidos em 4.2 e 4.5.1;

c) os resultados da avaliação de risco de compliance referidos em 4.6.

O escopo deve estar disponível como informação documentada.

NOTA O escopo do sistema de gestão de compliance é destinado a esclarecer os limites geográficos

e/ou organizacionais aos quais se aplica o sistema de gestão de compliance, especialmente se a organização
for parte de uma organização maior em determinado local.

4.4 Sistema de gestão de compliance

A organização deve estabelecer, documentar, implementar, manter e melhorar continuamente, o sis-

tema de gestão de compliance, incluindo os processos necessários e as suas interações, de acordo
com os requisitos deste Documento.

O sistema de gestão de compliance deve conter controles concebidos para tratar o risco de compliance,
bem como prevenir, detectar e reagir ao descumprimento da política de compliance e do sistema de
gestão de compliance.

O sistema de gestão de compliance deve ser razoável e proporcional, levando-se em conta os fatores
referidos em 4.3. O sistema de gestão de compliance deve refletir os valores, objetivos, estratégia
e riscos de compliance da organização.

O sistema de gestão de compliance deve estar de acordo com os requisitos da ABNT NBR ISO 37001.

4.5 Obrigações de compliance

4.5.1 Identificação das obrigações de compliance
A organização deve identificar sistematicamente as suas obrigações de compliance e suas implica-
ções para as suas atividades, produtos e serviços. A organização deve levar estas obrigações em consi-
deração no estabelecimento, desenvolvimento, implementação, avaliação, manutenção e melhoria
do sistema de gestão de compliance.
A organização deve documentar suas obrigações de compliance de forma apropriada ao seu porte,
complexidade, estrutura e operações.
Fontes de obrigações de compliance incluem requisitos de compliance e podem incluir compromisso
de compliance.
EXEMPLO 1: Exemplos de requisitos de compliance incluem:

—— leis e regulamentos;

8/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

—— permissões, licenças ou outras formas de autorização;

—— ordens, regras ou diretrizes emitidas pelas agências reguladoras;

—— decisões de tribunais de justiça ou tribunais administrativos;

—— tratados, convenções e protocolos.

Projeto em Consulta Nacional

EXEMPLO 2: Exemplos de comprometimento de compliance incluem:

—— acordos com grupos comunitários ou organizações não governamentais;

—— acordos com as autoridades públicas e os clientes;

—— requisitos organizacionais, como as políticas e os procedimentos;

—— princípios voluntários ou códigos de prática;

—— rotulagem voluntária ou compromissos ambientais;

—— obrigações decorrentes de acordos contratuais com a organização;

—— normas organizacionais e industriais pertinentes.

4.5.2 Manutenção das obrigações de compliance

As organizações devem dispor de processos para identificar novas leis e alterações de leis, regula-
mentos, códigos e outras obrigações de compliance para assegurar a sua continuidade.

As organizações devem ter processos para avaliar o impacto das mudanças identificadas e para
implementar quaisquer mudanças na gestão das obrigações de compliance.

NOTA Este documento leva em consideração o conceito amplo de compliance, contemplando não apenas
as questões de combate à corrupção e ao suborno, como também:

a) o cumprimento de todas as obrigações legais que a organização tem de atender, como, por exemplo,
a legislação trabalhista e as leis relativas ao meio ambiente;

b) os requisitos regulamentares pertinentes às atividades da Organização (como as regulamentações defi-

nidas pelo setor da indústria como, por exemplo, da ANVISA para o setor farmacêutico, a Resolução do
Banco Central do Brasil Nº 4.595 de Agosto de 2017 para o caso das Instituições Financeiras, entre outros);

c) os requisitos e compromissos que a organização decide cumprir, a exemplo dos códigos de conduta
internos, Normas Técnicas, regimentos internos e das políticas e procedimentos do seu sistema de gestão
de compliance;

d) os compromissos assumidos pela organização com a sociedade.

4.6 Identificação, análise e avaliação dos riscos de compliance

4.6.1 A organização deve realizar regularmente o processo de avaliação de riscos de compliance,
que devem:
a) identificar os riscos de compliance que a organização possa antecipar de forma razoável,
em função dos fatores listados em 4.1;
b) analisar, avaliar e priorizar os riscos de compliance identificados;

NÃO TEM VALOR NORMATIVO 9/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

c) avaliar a adequação e eficácia dos controles existentes da organização para tratar os riscos
de compliance avaliados.

4.6.2 A organização deve estabelecer critérios para avaliar seu nível de risco de compliance,
que deve levar em conta as políticas e os objetivos da organização.
Projeto em Consulta Nacional

4.6.3 O processo de avaliação de riscos de compliance deve ser analisado criticamente:

a) em intervalos regulares, de modo que mudanças e novas informações possam ser apropriada-
mente avaliadas com base no tempo e frequência definidos pela organização;

b) no caso de uma mudança significativa da estrutura ou atividades da organização, novas atividades,

iniciativas, produtos ou serviços;

c) em mudanças externas significativas, como circunstâncias econômico-financeiras, condições

de mercado, passivos e relacionamento com as partes interessadas;

d) nas alterações em obrigação de compliance (ver 4.5);

e) em casos de não compliance.

4.6.4 A organização deve reter informação documentada que demonstre que o processo de ava-
liação de riscos de compliance tem sido realizado e usado para conceber ou melhorar o sistema
de gestão de compliance.

NOTA 1 A extensão e o nível de detalhes da avaliação do risco de compliance dependem da situação de

risco, do contexto, do porte e dos objetivos da organização, e podem variar para as subáreas específicas
(por exemplo, meio ambiente, finanças, social).

NOTA 2 A abordagem baseada no risco para a gestão de compliance não significa que, para situações
de baixo risco de compliance, o não cumprimento seja aceito pela organização. Ela auxilia as organizações
a focarem a atenção e os recursos primários nos riscos mais elevados como uma prioridade e, finalmente,
irá cobrir todos os riscos de compliance. Todos os riscos/situações de compliance identificados estão sujeitos
a monitoramento, correção e ação corretiva.

NOTA 3 A ABNT NBR ISO 31000 fornece orientações detalhadas sobre a avaliação de riscos.

5 Liderança
5.1 Liderança e comprometimento

5.1.1 Órgão Diretivo

Quando a organização tem um Órgão Diretivo, este órgão deve demonstrar liderança e comprome-
timento em relação ao sistema de gestão de compliance para:

a) aprovar a política de compliance da organização;

b) assegurar que a estratégia da organização e a política de compliance estão alinhadas;

c) receber e analisar criticamente, a intervalos planejados, informações sobre o conteúdo e a

operação do sistema de gestão de compliance da organização;

10/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

d) requerer que os recursos adequados e apropriados necessários para a operação eficaz do

sistema de gestão de compliance estejam alocados e atribuídos;

e) exercer supervisão sobre a implementação do sistema de gestão de compliance da organização

pela Alta Direção e a sua eficácia.
Projeto em Consulta Nacional

5.1.2 Alta Direção

A Alta Direção deve demostrar liderança e comprometimento com relação ao sistema de gestão
de compliance para:

a) assegurar que o sistema de gestão de compliance, incluindo a política e os objetivos, esteja

estabelecido, implementado, mantido e analisado criticamente para abordar de forma adequada
os riscos de compliance da organização;

b) assegurar a integração dos requisitos do sistema de gestão de compliance nos processos da

organização;

c) disponibilizar recursos adequados e apropriados para a operação eficaz do sistema de gestão

de compliance;

d) comunicar interna e externamente sobre a política de compliance;

e) comunicar internamente a importância de uma gestão eficaz de compliance e da conformidade

com os requisitos do sistema de gestão de compliance;

f) assegurar que o sistema de gestão de compliance esteja apropriadamente concebido para

alcançar seus objetivos;

g) dirigir e apoiar o pessoal para contribuir com a eficácia do sistema de gestão de compliance;

h) promover uma cultura de compliance apropriada dentro da organização;

i) promover a melhoria contínua do sistema de gestão de compliance;

j) apoiar outros papéis pertinentes da gestão para demostrar como sua liderança na prevenção e
detecção do não cumprimento da política de compliance, ou do sistema de gestão de compliance,
se aplica às áreas sob sua responsabilidade;

k) encorajar o uso de procedimentos de relato de má conduta ou de violações da política de

compliance ou do sistema de gestão de compliance, seja suspeito ou real (ver 8.9);

l) assegurar que o pessoal não sofra retaliação, discriminação ou ação disciplinar (ver 7.2.2.1-d),
por relatos feitos de boa-fé ou com base em uma razoável convicção de violação ou suspeita
de violação da política de compliance da organização, ou por se recusar a descumprir a política
de compliance ou o sistema de gestão de compliance, mesmo que tal recusa possa resultar na
perda de um negócio para a organização;

m) reportar para o Órgão Diretivo (se existir), a intervalos planejados, sobre o conteúdo e operação
do sistema de gestão de compliance e de alegações de má conduta ou de violação ao sistema de
gestão de compliance, seja sistemático ou grave;

n) assegurar o alinhamento entre os objetivos operacionais e as obrigações de compliance.

NÃO TEM VALOR NORMATIVO 11/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

5.2 Política de compliance

O Órgão Diretivo e a Alta Direção devem estabelecer, manter e analisar criticamente uma política
de compliance que:

a) requeira o cumprimento das leis, regulamentações e outros requisitos aplicáveis e compromissos

Projeto em Consulta Nacional

voluntários assumidos;

b) seja apropriada ao propósito da organização;

c) proveja uma estrutura para estabelecer, analisar criticamente e alcançar os objetivos de compliance;

d) inclua um comprometimento para satisfazer aos requisitos do sistema de gestão de compliance;

e) que defina as responsabilidades para gerenciar e relatar as questões de compliance;

f) defina o grau em que o compliance será incorporado nas políticas, procedimentos e processos;

g) que estabeleça o padrão de conduta e a responsabilização por prestar contas conforme requerido;

h) encoraje o levantamento de preocupações com base na boa-fé ou em uma razoável convicção

na confiança, sem medo de represália;

i) inclua um comprometimento para a melhoria contínua do sistema de gestão de compliance;

j) explique a autoridade e independência da função de compliance; e

k) explique as consequências do não cumprimento com as políticas e procedimentos de compliance.

A política de compliance deve:

—— estar disponível como informação documentada;

—— ser comunicada nos idiomas apropriados dentro da organização e também para os parceiros de
negócio que representem um risco de compliance;

—— estar disponível para as partes interessadas pertinentes, conforme apropriado;

—— ser atualizada, conforme requerido, para assegurar que ela permaneça irrelevante;

—— ser estabelecida em alinhamento com os valores, os objetivos e a estratégia da organização.

5.3 Papéis, responsabilidades e autoridades organizacionais

5.3.1 Papéis e responsabilidades

A Alta Direção deve ter total responsabilidade pela implementação, cumprimento e conformidade
com o sistema de gestão de compliance, conforme descrito em 5.1.2.

A Alta Direção deve assegurar que as responsabilidades e as autoridades para os papéis relevantes
sejam atribuídas e comunicadas dentro e em todos os níveis da organização.

Gestores de todos os níveis devem ser responsáveis por requerer que os requisitos do sistema de
gestão de compliance sejam aplicados e cumpridos nos seus departamentos ou funções.

12/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

O Órgão Diretivo (se existir), a Alta Direção e todo o pessoal devem ser responsáveis por entender,
cumprir e aplicar os requisitos do sistema de gestão de compliance que se referem aos seus papéis
na organização.

5.3.2 Função de compliance

Projeto em Consulta Nacional

A Alta Direção deve atribuir a uma função de compliance a responsabilidade e a autoridade para:

a) supervisionar a concepção e a implementação pela organização do sistema de gestão de

compliance;

b) prover aconselhamento e orientação para o pessoal sobre o sistema de gestão de compliance;

c) assegurar que o sistema de gestão de compliance da organização esteja em conformidade com os

requisitos deste documento e que a organização esteja cumprindo com a obrigação de compliance;

d) reportar o desempenho do sistema de gestão de compliance ao Órgão Diretivo (se existir)

e à Alta Direção e outras funções, conforme apropriado;

e) identificar as obrigações de compliance com o apoio de recursos pertinentes e traduzir essa

obrigação em políticas, procedimentos e processos;

f) integrar a obrigação de compliance nas políticas, procedimentos e processos existentes;

g) fornecer ou organizar apoio contínuo de treinamento em compliance para os empregados e,

onde pertinente, para os parceiros de negócio, de modo a assegurar que todas as pessoas
relevantes sejam treinadas regularmente;

h) promover a inclusão das responsabilidades de compliance em descrições de cargos e processos

de gestão de desempenho de empregados;

i) estabelecer indicadores de desempenho de compliance, monitorando, medindo, analisando e

avaliando esses indicadores.

j) desenvolver e implementar processos para a gestão da informação, como reclamações e/ou

retroalimentação por meio de linhas diretas, um sistema de comunicação de irregularidades
e de outros mecanismos de execução;

k) identificar riscos de compliance e gestão destes riscos de compliance relativos aos parceiros de
negócio, como, por exemplo, os fornecedores, agentes, distribuidores, consultores e contratados.

A função de compliance deve ser adequadamente provida de recursos e atribuída à(s) pessoa(s) que
tenha(m) competência, posição, autoridade e independência apropriadas.

A função de compliance deve ter acesso direto e imediato ao Órgão Diretivo (se existir) e à Alta
Direção, caso qualquer questão ou preocupação necessite ser levantada em relação ao sistema de
gestão de compliance.

A Alta Direção pode atribuir alguma ou toda a função de compliance a pessoas externas à organização.
Neste caso, a Alta Direção deve assegurar que pessoal específico tenha responsabilidade e autoridade
sobre aquelas partes da função, atribuídas externamente.

NÃO TEM VALOR NORMATIVO 13/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

5.3.3 Tomada de decisão delegada

Onde a Alta Direção delegar para o pessoal a autoridade para tomar decisões em relação às quais
existe um risco de compliance, a organização deve estabelecer e manter um processo de tomada de
decisão ou um conjunto de controles que requeira que o processo de decisão e o nível de autoridade
do(s) tomador(es) da decisão sejam apropriados e livres de conflitos de interesse reais ou potenciais.
Projeto em Consulta Nacional

A Alta Direção deve assegurar que estes processos sejam periodicamente analisados criticamente e
como parte do seu papel e responsabilidade para a implementação e a conformidade e o cumprimento
com o sistema de gestão de compliance descrito em 5.3.1.

NOTA O(s) tomador(es) da decisão não exime a Alta Direção ou o Órgão Diretivo (se existir) das suas
obrigações e responsabilidades, como descritas em 5.1.1, 5.1.2 e 5.3.1, nem necessariamente serão trans-
feridas potenciais responsabilidades legais para o pessoal delegado.

5.3.4 Responsabilidade do empregado

Todos os empregados, incluindo gerentes e líderes devem:

a) aderir às obrigações de compliance da organização, que são relevantes para a sua posição e
atribuições;

b) participar de treinamento de acordo com o sistema de gestão de compliance;

c) utilizar os recursos de compliance disponibilizados pela organização;

d) relatar preocupações, problemas e falhas relacionados ao compliance.

6 Planejamento
6.1 Ações para abordar os riscos de compliance

Durante o planejamento do sistema de gestão de compliance, a organização deve considerar as questões

referidas em 4.1, os requisitos referidos em 4.2, os princípios da boa governança referidos em 4.4,
as obrigações de compliance identificadas em 4.5 e os resultados da avaliação de risco de compliance
referidos em 4.6 para determinar os riscos de compliance que necessitam ser abordados para:

—— garantir que o sistema de gestão de compliance atinja o(s) seu(s) resultado(s) pretendido(s);

—— prevenir, detectar e reduzir os efeitos indesejáveis;

—— promover a melhoria contínua.

A organização deve planejar:

a) as ações para abordar os riscos de compliance;

b) integração e a implementação das ações em seus processos do sistema de gestão de compliance;

c) a avaliação da eficácia das ações mencionadas.

A organização deve reter informação documentada sobre as ações planejadas para abordar os riscos
de compliance.

14/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

6.2 Objetivos de compliance e planejamento para alcançá-los

A organização deve estabelecer os seus objetivos do sistema de gestão de compliance em funções

e níveis relevantes.

Os objetivos de compliance devem:

Projeto em Consulta Nacional

a) ser consistentes com a política de compliance;

b) ser mensuráveis (se possível);

c) levar em consideração os fatores aplicáveis referidos em 4.1, os requisitos descritos em 4.2, as

obrigações de compliance identificadas em 4.5 e os riscos de compliance identificados em 4.6;

d) ser monitorados;

e) ser comunicados de acordo com 7.4;

f) ser atualizados e/ou revisados, caso necessário.

Ao planejar como alcançar seus objetivos de compliance, a organização deve determinar:

—— o que será feito;

—— os recursos que serão necessários;

—— quem será responsável;

—— quando será concluído;

—— como os resultados serão avaliados e relatados.

A organização deve manter informação documentada sobre os objetivos de compliance e reter

informação documentada como evidência sobre as ações planejadas para alcançá-los.

7 Apoio
7.1 Recursos

A organização deve determinar e fornecer os recursos necessários para o estabelecimento, desen-

volvimento, implementação, avaliação, manutenção e melhoria contínua do sistema de gestão de
compliance adequado ao seu porte, complexidade, estrutura e operações.

A Alta Direção e todos os outros níveis de direção devem assegurar que os recursos necessários
sejam implementados de forma eficaz, para assegurar que o sistema de gestão de compliance atenda
aos seus objetivos e que o compliance seja alcançado.

Os recursos incluem recursos humanos e financeiros, aconselhamento externo e habilidades

especializadas, infraestrutura organizacional, material de referência contemporânea, sobre gestão
de compliance e obrigações legais, desenvolvimento profissional e tecnologia.

NÃO TEM VALOR NORMATIVO 15/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

7.2 Competência
7.2.1 Generalidades

A organização deve:

a) determinar as competências necessárias de pessoas que realizam trabalho sob o seu controle
Projeto em Consulta Nacional

e que afetam o desempenho e a eficácia do sistema de gestão de compliance;

b) assegurar que essas pessoas sejam competentes, com base em educação, treinamento e/ou
experiência apropriados;

c) onde aplicável, tomar ações para adquirir e manter a competência necessária e avaliar a eficácia
das ações tomadas;

d) reter informação documentada apropriada, como evidências de competência.

NOTA Ações aplicáveis podem incluir, por exemplo, a provisão de treinamento, o coaching, a mudança
de atribuições do pessoal ou parceiros de negócio; ou empregá-los ou contratá-los.

7.2.2 Processo de contratação de pessoal

7.2.2.1 Quadro geral

Em relação a todo o seu pessoal, a organização deve implementar procedimentos que:

a) as condições de contratação requeiram que o pessoal cumpra a política de compliance e com

o sistema de gestão de compliance, e que seja dado à organização o direito de adotar medidas
disciplinares no caso de não cumprimento;

b) dentro de um período de tempo razoável após o início da sua contratação, o pessoal receba uma
cópia ou que seja fornecido acesso à política de compliance e treinamento em relação a essa política;

c) a organização tenha procedimentos que permitam tomar ações disciplinares apropriadas contra
o pessoal que viole a política de compliance ou o sistema de gestão de compliance;

d) o pessoal não sofra retaliação, discriminação ou ações disciplinares (por exemplo, ameaças,
isolamento, rebaixamento, impedimento de promoção, transferência, demissão, assédio, vitimi-
zação ou outras formas de intimidação) por:

1) recusar-se a participar ou declinar de qualquer atividade em relação à qual tenha razoavel-

mente julgado que haja um risco de compliance que não tenha sido tratado pela organização; ou

2) preocupações levantadas ou relatos feitos de boa-fé ou com base em uma convicção razoável
de tentativas, reais ou suspeitas, de violação da política de compliance ou do sistema de
gestão de compliance (exceto nos casos em que o indivíduo participou da violação).

7.2.2.2 Quadro de maior exposição ao risco de compliance

Em relação a todas as posições que estão expostas a um risco de compliance, como determinado
no processo de avaliação de risco de compliance (ver 4.5), e à função de compliance, a organização
deve implementar procedimentos que prevejam que:

a) a due diligence seja conduzida nas pessoas antes de elas serem contratadas, e no pessoal antes
de serem transferidos ou promovidos pela organização, para verificar, tanto quanto possível, se é
apropriado contratá-los ou realocá-los e se é razoável acreditar que eles cumprirão a política de
compliance e os requisitos do sistema de gestão de compliance;

16/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

b) os prêmios por desempenho, metas de desempenho e outros elementos de incentivo de remu-

neração sejam analisados criticamente de forma periódica, para verificar a existência de salva-
guardas razoáveis implementadas para impedi-los de incentivar o descumprimento da política
de compliance ou dos requisitos do sistema de gestão de compliance;

c) o pessoal, a Alta Direção e o Órgão Diretivo (se existir) firmem uma declaração a intervalos razoá-
Projeto em Consulta Nacional

veis e proporcionais ao risco de compliance identificado, confirmando o seu cumprimento com

a política de compliance e com os requisitos do sistema de gestão de compliance.

NOTA A declaração de cumprimento com a política de compliance e com os requisitos do sistema de

gestão de compliance pode ser independente ou pode ser um componente de um processo de declaração
de cumprimento mais abrangente.

7.3 Conscientização e treinamento

7.3.1 Generalidades

7.3.1.1 A organização deve assegurar a conscientização quanto ao cumprimento da política de

compliance e do sistema de gestão de compliance , incluindo a provisão de treinamentos apropriados
e adequados para o pessoal, incluindo a Alta Direção e o Órgão Diretivo (se existir). Os treinamentos e
outros meios para se atingir a conscientização devem abordar as seguintes questões, como apropriado,
levando-se em conta os resultados do processo de avaliação de risco de compliance (ver 4.6):

a) a política de compliance, os procedimentos e o sistema de gestão de compliance da organização,

e sua obrigação de cumpri-los;

b) os riscos de compliance e os danos causados a eles e à organização que podem resultar do

descumprimento da política de compliance ou do sistema de gestão de compliance;

c) as circunstâncias nas quais o descumprimento da política de compliance ou do sistema de

gestão de compliance podem ocorrer em relação às suas obrigações, e como reconhecer essas
circunstâncias;

d) como eles podem ajudar a prevenir e evitar o descumprimento da política de compliance ou do

sistema de gestão de compliance e reconhecer indicadores-chave de riscos de compliance;

e) sua contribuição para a eficácia do sistema de gestão de compliance, incluindo os benefícios

de melhoria do desempenho do sistema de gestão de compliance e de relatar suspeitas de
descumprimento da política de compliance ou do sistema de gestão de compliance;

f) as implicações e potenciais consequências de não estar em conformidade com os requisitos

do sistema de gestão de compliance;

g) como e para quem eles são capazes de relatar quaisquer preocupações;

h) informações sobre treinamento e recursos disponíveis.

7.3.1.2 O pessoal deve receber conscientização e treinamento na política de compliance regular-

mente (a intervalos planejados definidos pela organização), como apropriado aos seus papéis,
aos riscos de compliance a que eles estão expostos e a quaisquer mudanças de circunstâncias.
Os programas de conscientização e treinamento devem ser atualizados periodicamente, quando
necessário para refletir novas informações pertinentes.

NÃO TEM VALOR NORMATIVO 17/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

7.3.1.3 O treinamento deve ser adaptado às obrigações e aos riscos de compliance relacionados com
os papéis e responsabilidades do pessoal, realizado por ocasião da sua admissão na organização,
alinhado com o programa e treinamento corporativo e incorporado nos planos de treinamentos anuais.

7.3.1.4 Um retreinamento em compliance deve ocorrer sempre que houver:

Projeto em Consulta Nacional

a) mudança de cargo ou responsabilidades;

b) mudanças em políticas, procedimentos e processos internos;

c) mudanças na estrutura da organização;

d) mudanças nas obrigações de compliance, especialmente nos requisitos legais ou das partes
interessadas;

e) mudanças nas atividades, produtos ou serviços;

f) questões decorrentes do monitoramento, auditoria, análises críticas, reclamações e não cumpri-

mento, incluindo retroalimentação das partes interessadas.

7.3.1.5 Levando-se em conta os riscos de compliance identificados (ver 4.6), a organização deve
também implementar procedimentos abordando a conscientização e o treinamento na política de
compliance e no sistema de gestão de compliance para os parceiros de negócio que atuam em
nome da organização ou para o seu benefício, e que podem representar um risco de compliance
para a organização. Estes procedimentos devem identificar os parceiros de negócio para os quais
a conscientização e o treinamento sejam necessários, seu conteúdo e os meios pelos quais o treina-
mento deve ser fornecido.

7.3.1.6 A organização deve reter informação documentada sobre os procedimentos de treinamento,

o conteúdo do treinamento, quando e para quem ele foi dado.

NOTA Os requisitos de conscientização e treinamento para os parceiros de negócio podem ser comuni-
cados por meio de requisitos contratuais ou similares, e ser implementados pela organização, pelo parceiro
de negócio ou por outras partes indicadas para este propósito.

7.3.2 Comportamento

O comportamento que cria e apoia o compliance deve ser incentivado e o comportamento que com-
promete o compliance não pode ser tolerado.

A Alta Direção deve:

a) incentivar o pessoal a aceitar a importância de alcançar os objetivos de compliance pelos

quais são responsabilizados;

b) criar um ambiente onde o relato de não cumprimento com a política de compliance e com o
sistema de gestão de compliance seja incentivado, assegurando que o pessoal que fez o relato
estará a salvo de retaliação;

c) incentivar o pessoal a fazer sugestões que facilitem a melhoria contínua do desempenho de compliance;

d) assegurar que o compliance seja incorporado às iniciativas mais amplas da cultura e da mudança
da cultura organizacional, incluindo os sistemas de avaliação de desempenho e reconhecimento;

e) assegurar que os objetivos e metas operacionais não comprometam o comportamento compatível.

18/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

7.3.3 Cultura de compliance

O desenvolvimento de uma cultura de compliance requer o comprometimento ativo, visível, consistente

e sustentado da Alta Direção e do Órgão Diretivo (se existir) a um padrão comum de comportamento,
publicado, e que seja requerido em todas as áreas da organização.
Projeto em Consulta Nacional

7.4 Comunicação

7.4.1 A organização deve determinar as comunicações internas e externas pertinentes para o

sistema de gestão de compliance, incluindo:

a) o que ela irá comunicar;

b) quando comunicar;

c) com quem comunicar;

d) como comunicar;

e) quem irá comunicar;

f) os idiomas nos quais se comunicar.

7.4.2 A política de compliance deve estar disponível para todo o pessoal da organização e aos
parceiros de negócio, ser comunicada diretamente tanto para o pessoal quanto para os parceiros de
negócio que representem um risco de compliance , e deve ser publicada por meio de todos os canais
de comunicação, internos e externos, da organização, conforme apropriado.

7.5 Informação documentada

7.5.1 Generalidades

O sistema de gestão de compliance da organização deve incluir:

a) informação documentada requerida por este documento;

b) informação documentada determinada pela organização como sendo necessária para a eficácia
do sistema de gestão de compliance.

NOTA A extensão da informação documentada para um sistema de gestão de compliance pode diferir
de uma organização para outra, devido:

—— ao porte da organização e ao seu tipo de atividades, processos, produtos e serviços;

—— à complexidade dos processos e suas interações;

—— à competência dos empregados;

7.5.2 Criando e atualizando

Ao criar e atualizar informação documentada, a organização deve assegurar, apropriadamente:

a) a identificação e descrição (por exemplo, um título, data, autor, ou referência ou número da versão);

NÃO TEM VALOR NORMATIVO 19/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

b) o formato (por exemplo, linguagem, versão do software, gráficos) e meios (por exemplo, papel, eletrônico);

c) a análise crítica e aprovação quanto à adequação e suficiência.

7.5.3 Controle de informação documentada

Projeto em Consulta Nacional

A informação documentada requerida pelo sistema de gestão de compliance e por este Documento
deve ser controlada para assegurar que:

a) esta esteja disponível, acessível e adequada para uso, onde e quando for necessário;

b) esta esteja protegida adequadamente (por exemplo, perda de confidencialidade, uso impróprio
ou perda de integridade).

Para o controle de informação documentada, a organização deve abordar as seguintes atividades,

como aplicável:

—— distribuição, acesso, recuperação e uso;

—— armazenamento e preservação, incluindo a preservação de legibilidade;

—— controle de alterações (por exemplo, controle de versão);

—— retenção, disposição e eliminação.

A informação documentada de origem externa determinada pela organização como necessária

para o planejamento e operação do sistema de gestão de compliance deve ser identificada,
como apropriado, e controlada.

NOTA 1 Quando a informação documentada for preparada com a finalidade de obtenção de aconselha-
mento jurídico ou de ser prova judicial, convém que seja tratada respeitando-se as questões de privilégio
legal e de segredo de justiça, quando aplicável.

NOTA 2 O acesso implica uma decisão quanto à permissão para ver somente a informação documentada,
ou a permissão e autoridade para ver e alterar a informação documentada etc.

8 Operação
8.1 Planejamento e controle operacionais

A organização deve planejar, implementar, analisar criticamente e controlar os processos neces-

sários para atender aos requisitos do sistema de gestão de compliance, às obrigações de compliance
e implementar as ações determinadas em 6.1 ao:

—— estabelecer critérios para os processos;

—— implementar um controle de processos de acordo com os critérios;

—— manter informação documentada, na extensão necessária, para ter a confiança de que os

processos foram realizados conforme o planejado.

A organização deve controlar mudanças planejadas e analisar criticamente as consequências de

mudanças não intencionais, tomando ações para minimizar quaisquer efeitos adversos, quando necessário.

20/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

8.2 Processos terceirizados

A organização deve assegurar que os processos terceirizados sejam controlados e monitorados.

Se houver qualquer terceirização das atividades da organização, é requerida para este caso a
realização de uma due diligence para assegurar o cumprimento com as politicas e procedimentos de
Projeto em Consulta Nacional

compliance da organização. Os controles sobre parceiros de negócio também devem estar em vigor
para assegurar que o contrato seja cumprido de forma eficaz.

A organização deve considerar os riscos de compliance relacionados com os processos de terceira parte.

8.3 Due diligence

Quando o processo de avaliação dos riscos de compliance da organização, for realizado conforme
descrito em 4.6, avaliar que existe um risco de compliance maior do que o que a organização está
disposta a aceitar em relação a:

a) categorias específicas de transações, projetos ou atividades, processos, iniciativas, produtos

e serviços;

b) relacionamentos planejados ou em andamento com categorias específicas de parceiros de

negócio; ou

c) categorias específicas de pessoal em determinadas posições.

d) A organização deve avaliar a natureza e a extensão do risco de compliance em relação a transa-

ções, projetos, atividades, parceiros de negócio e pessoal específicos, que se encontram dentro
destas categorias. Este processo de avaliação deve incluir qualquer due diligence necessária
para obter informação suficiente para avaliar o risco de compliance.

A due diligence deve ser atualizada em uma frequência definida para que as alterações e novas
informações possam ser levadas em consideração apropriadamente.

NOTA A organização pode concluir que é desnecessário, não razoável ou desproporcional realizar a
due diligence em certas categorias de pessoal e parceiros de negócio, elos da cadeia de fornecimento,
atividades, processos, iniciativas, produtos e serviços.

9 Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação

A organização deve determinar:

a) o que precisa ser monitorado e medido;

b) quem é responsável pelo monitoramento;

c) os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para assegurar
resultados válidos;

d) quando o monitoramento e a medição devem ser realizados;

NÃO TEM VALOR NORMATIVO 21/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

e) quando os resultados de monitoramento e medição devem ser analisados e avaliados;

f) para quem e como estas informações devem ser reportadas.

A organização deve reter informação documentada apropriada como evidência dos métodos e dos
resultados.
Projeto em Consulta Nacional

A organização deve avaliar o desempenho de compliance, a eficiência e a eficácia do sistema de

gestão de compliance.

9.2 Auditoria interna

9.2.1 A organização deve conduzir auditorias internas a intervalos planejados, para prover as
seguintes informações sobre se o sistema de gestão de compliance:

a) está em conformidade com:

1) os requisitos da própria organização para o seu sistema de gestão de compliance;

2) os requisitos deste Documento;

b) está implementado e mantido de maneira eficaz.

NOTA 1 Orientações sobre sistemas de gestão de auditoria são fornecidas na ABNT NBR ISO 19011.

NOTA 2 O escopo e a escala das atividades da auditoria interna da organização podem variar, dependendo
de uma variedade de fatores, incluindo o tamanho da organização, a estrutura, a maturidade e as localizações.

9.2.2 A organização deve:

a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequência,

métodos, responsabilidades, requisitos de planejamento e relatórios, os quais devem levar em
consideração a importância dos processos pertinentes e os resultados de auditorias anteriores;

b) definir os critérios de auditoria e o escopo para cada auditoria;

c) selecionar auditores competentes e conduzir auditorias para assegurar objetividade e imparcia-

lidade do processo de auditoria;

d) assegurar que os resultados das auditorias sejam reportados para a gerência pertinente, a função
de compliance, Alta Direção e, como apropriado, ao Órgão Diretivo (se existir);

e) reter informação documentada como evidência da implementação do programa de auditoria e dos

resultados de auditoria.

9.2.3 Estas auditorias devem ser razoáveis, proporcionais e baseadas em risco. Estas auditorias
devem consistir em processos de auditoria interna ou outros procedimentos que analisem critica-
mente, procedimentos, controles e sistemas relativos a:

a) violação da política de compliance ou dos requisitos do sistema de gestão de compliance;

b) falha do parceiro de negócio em atender aos requisitos de compliance aplicáveis à organização;

c) fragilidades no sistema de gestão de compliance ou oportunidades para sua melhoria.

22/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

9.2.4 Para assegurar a objetividade e imparcialidade destes programas de auditoria, a organização

deve assegurar que estas auditorias sejam conduzidas por uma das seguintes entidades:

a) uma função independente ou pessoal estabelecido ou designado para este processo;

b) a função de compliance (a menos que o escopo da auditoria inclua uma avaliação do próprio sistema
Projeto em Consulta Nacional

de gestão de compliance, ou trabalho similar pelo qual a função de compliance é responsável);

c) uma pessoa apropriada de um departamento ou outra função diferente daquela que está sendo
auditada;

d) uma terceira parte apropriada; ou

e) um grupo que contemple quaisquer das opções de a) a d).

A organização deve assegurar que nenhum auditor audite sua própria área de trabalho.

9.3 Análise Crítica pela Alta Direção e pelo Órgão Diretivo (se existir)

9.3.1 Análise crítica pela Alta Direção

A Alta Direção deve analisar criticamente o sistema de gestão de compliance da organização, a inter-
valos planejados, para assegurar a sua contínua adequação, suficiência e eficácia.

A análise crítica pela Alta Direção deve incluir consideração de:

a) situação de ações de análises críticas de direções anteriores;

b) mudanças em questões externas e internas que sejam pertinentes para o sistema de gestão
de compliance;

c) informação sobre o desempenho do sistema de gestão de compliance, incluindo tendências em:

1) não conformidades e ações corretivas;

2) resultados de monitoramento e medição;

3) resultados de auditoria;

4) relatos de violação da política de compliance ou do sistema e gestão de compliance;

5) investigações;

6) natureza e extensão dos riscos de compliance a que a organização está sujeita;

d) eficácia das ações tomadas para abordar os riscos de compliance;

e) oportunidades para melhoria contínua do sistema de gestão de compliance, como referido em 10.2.

As saídas da análise crítica pela Alta Direção devem incluir decisões relacionadas com oportunidades
para melhoria contínua e qualquer necessidade de mudanças no sistema de gestão de compliance.

Um resumo dos resultados da análise crítica pela Alta Direção deve ser reportado ao Órgão Diretivo
(se existir).

NÃO TEM VALOR NORMATIVO 23/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

A organização deve reter informação documentada como evidência dos resultados de análises críticas
pela Alta Direção.

9.3.2 Análise crítica pelo Órgão Diretivo

O Órgão Diretivo (se existir) deve conduzir análises críticas periódicas do sistema de gestão de
Projeto em Consulta Nacional

compliance, baseadas na informação fornecida pela Alta Direção e pela função de compliance,
e qualquer outra informação que o Órgão Diretivo solicite ou obtenha.

A organização deve reter as informações documentadas resumidas como evidência dos resultados
das análises críticas pelo Órgão Diretivo.

9.4 Análise crítica pela função de compliance

A função de compliance deve avaliar, a intervalos planejados se o sistema de gestão de compliance está:

a) adequado para gerenciar eficazmente os riscos de compliance enfrentados pela organização;

b) sendo eficazmente implementado.

A função de compliance deve reportar a intervalos planejados e em uma base ad hoc, como apro-
priado, para o Órgão Diretivo (se existir) e para a Alta Direção, ou para um comitê adequado
do Órgão Diretivo ou da Alta Direção, sobre a adequação e implementação do sistema de gestão
de compliance, incluindo os resultados de investigações e auditorias.

NOTA 1 A frequência destes relatórios depende dos requisitos da organização, mas é recomendado que seja
pelo menos anual.

NOTA 2 A organização pode usar um parceiro de negócio para auxiliar na análise crítica, desde que as
observações do parceiro de negócio sejam comunicadas de forma apropriada para a função de compliance,
para a Alta Direção e, como apropriado, para o Órgão Diretivo (se existir).

10 Melhorias
10.1 Não conformidade, não cumprimento e ação corretiva

Quando uma não conformidade e/ou não cumprimento ocorrer, a organização deve:

a) reagir prontamente à não conformidade e/ou ao não cumprimento e, conforme o caso:

1) tomar medidas para controlar e corrigir; e/ou

2) lidar com as consequências;

b) avaliar a necessidade de ações para eliminar as causas fundamentais da não conformidade e/ou
do não cumprimento, a fim de que não se repita ou ocorra em outros lugares, ao:

1) analisar criticamente a não conformidade e/ou não cumprimento;

2) determinar as causas de não conformidade e/ou não cumprimento;

3) determinar se existem não conformidades e/ou não cumprimentos similares, ou se poderiam

potencialmente ocorrer;

24/26 NÃO TEM VALOR NORMATIVO

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

c) implementar qualquer ação necessária;

d) analisar criticamente a eficácia das ações corretivas tomadas;

e) realizar mudanças no sistema de gestão de compliance, se necessário.

Projeto em Consulta Nacional

As ações corretivas devem ser apropriadas aos efeitos das não conformidades e/ou não cumpri-
mentos encontrados.

A organização deve reter a informação documentada como evidência:

—— da natureza das não conformidades e/ou não cumprimento e quaisquer ações tomadas subsequentemente;

—— dos resultados de qualquer ação corretiva.

10.2 Melhoria contínua

A organização deve melhorar continuamente a adequação, a suficiência e a eficácia do sistema de

gestão de compliance.

A organização deve considerar os resultados de análise e avaliação e as saídas de análise crítica

pela função de compliance, Alta Direção e pelo Órgão Diretivo (se existir), para determinar se existem
necessidades ou oportunidades que devem ser abordadas como parte da melhoria contínua.

NÃO TEM VALOR NORMATIVO 25/26

 ABNT/CEE-309
PROJETO ABNT NBR 19601
JUN 2018

Bibliografia

[1]  ABNT NBR ISO 9001, Sistemas de gestão da qualidade – Requisitos

Projeto em Consulta Nacional

[2]  ABNT NBR ISO 19011, Diretrizes para auditoria de sistemas de gestão

[3]  ABNT NBR ISO 31000, Gestão de riscos – Diretrizes

[4]  ISO 19600, Sistema de gestão de compliance – Diretrizes

26/26 NÃO TEM VALOR NORMATIVO