Escolar Documentos
Profissional Documentos
Cultura Documentos
Hoje o poder dos governos e das organizações empresariais, já não são exercidos
pela força direta e indireta, como se conhecia no passado. As modernas técnicas
de gestão e governança são aplicadas de forma induzida, para que a sociedade e
os indivíduos nas organizações sigam “diretrizes e normas” formuladas, para que
o comportamento social e operacional alcance os objetivos estabelecidos.
Governança e
Avaliação de Riscos
Cultura
Pessoas e Políticas e
Competências Procedimentos
Monitoramento e Auditoria e
Gestão Controle
Módulo 1 - Fundamentos
Contexto da Gestão Antissuborno, o Compliance e a
Implementação
Requisitos
O escopo deve estar disponível como informação documentada.
Módulo 2 – Diretrizes e Interpretação de Requisitos
4. Contexto da Organização (ISO 37001)
4.4. Sistema de gestão antissuborno
Requisitos
Módulo 2 – Diretrizes e Interpretação de Requisitos
4. Contexto da Organização (ISO 19600)
4.3. Determinação do escopo do Sistema de Gestão
Compliance
Convém que a organização determine os limites e a
aplicabilidade do Sistema de Gestão. Convém que seja
considerado:
a) As questões internas e externas (item 4.1)
b) Os requisitos referidos (sobre partes interessadas) e ISO
identificação das obrigações de compliance (itens 4.2 e 4.5.1) 19600
O Órgão Diretivo (se existir), a Alta Direção e todo o pessoal devem ser
responsáveis por entender, cumprir e aplicar os requisitos.
Módulo 3 – Diretrizes e Interpretação de Requisitos
5. Liderança(ISO 37001)
5.3.2. Função de compliance antissuborno
A Alta Direção deve atribuir a uma função de compliance
antissuborno a responsabilidade e autoridade para:
a) Supervisionar a concepção e a implementação pela organização do
sistema de gestão antissuborno.
b) Prover aconselhamento e orientação para o pessoal sobre o sistema
e questões relativa a suborno.
c) Assegurar que o sistema esteja em conformidade com a norma. ISO
d) Reportar o desempenho do sistema ao órgão Diretivo (se existir) e 37001
à Alta Direção e outras funções de compliance, como apropriado.
Requisitos
A função deve ser provida de recursos e atribuída a pessoa(s) que tenha(m) competência,
posição, autoridade e independência apropriadas. / Ter acesso direto e imediato ao Órgão
Diretivo (se existir) e à Alta Direção. / Pode atribuir funções a pessoas externas à
organização. Neste caso, a Alta Direção deve assegurar que pessoal específico tenha
responsabilidade e autoridade sobre aquelas partes da função.
Módulo 3 – Diretrizes e Interpretação de Requisitos
5. Liderança(ISO 37001)
5.3.3. Tomada de decisão delegada
Onde a Alta Direção delegar para o pessoal a autoridade para tomar
decisões em relação às quais existe mais do que um baixo risco de
suborno, a organização deve estabelecer e manter um processo de
tomada de decisão ou um conjunto de controles que requeira que o
processo de decisão e o nível de autoridade do(s) tomador(es) da
decisão sejam apropriados e livres de conflitos de interesse reais ou
potenciais. A Alta Direção deve assegurar que estes processos sejam ISO
periodicamente analisados e como parte do seu papel e 37001
responsabilidade para a implementação e a conformidade com o
sistema de gestão antissuborno. Requisitos
Requisitos
Módulo 4
Diretrizes e Interpretação de
Requisitos – Parte 3
Módulo 4 – Diretrizes e Interpretação de Requisitos
6. Planejamento(ISO 37001)
6.1. Ações para abordar riscos e oportunidades
Considerar questões referidas em 4.1., os requisitos referidos em
4.2., os riscos identificados em 4.5., e as oportunidades para
melhoria que precisam ser abordados para:
a) Garantia razoável que o sistema alcance seus objetivos.
b) Prevenir ou reduzir efeitos indesejados pertinentes aos objetivos
e à política antissuborno.
ISO
c) Monitorar a eficácia do sistema de gestão antissuborno.
37001
d) Alcançar a melhoria contínua.
Requisitos
Nota: Riscos podem ser positivos (Oportunidades) ou Negativos
(Fraquezas).
Módulo 4 – Diretrizes e Interpretação de Requisitos
6. Planejamento(ISO 37001)
6.2. Objetivos antissuborno e planejamento para alcançá-
los
A organização deve Estabelecer
objetivos do sistema de gestão A organização deve determinar
antissuborno nas funções e níveis (PLANO DE AÇÃO)
pertinentes.
ISO
37001
Requisitos
Módulo 5 – Diretrizes e Interpretação de Requisitos
7. Apoio (ISO 37001)
7.2. Competência
7.2.1. Generalidades
A organização deve:
a) Determinar a competência necessária de pessoa(s) que
realiza(m) trabalho(s) sob o seu controle e que afeta(m) o seu
desempenho antissuborno.
b) Assegurar que essas pessoas sejam competentes com base ISO
em educação, treinamento ou experiência apropriados. 37001
c) Onde aplicável, tomar ações para adquirir e manter a
competência necessária e avaliar a eficácia das ações tomadas. Requisitos
d) Reter informação documentada apropriada como evidência
de competência.
Módulo 5 – Diretrizes e Interpretação de Requisitos
7. Apoio (ISO 37001)
7.2. Competência
7.2.2. Processo de Contratação de Pessoal
7.2.2.1. A organização deve implementar procedimentos tais que:
a) As condições de contratação requeiram que o pessoal cumpra
com a política antissuborno e com o sistema de gestão
antissuborno, e que seja dado à organização o direito de adotar
medidas disciplinares no caso de não cumprimento;
ISO
b) Dentro de um período de tempo razoável do início da sua
37001
contratação, o pessoal receba uma cópia ou que seja fornecido
acesso à política antissuborno e treinamento em relação a essa Requisitos
política;
c) Pessoal não sofra retaliações, discriminação (por exemplo
ameaças, isolamento, rebaixamento, impedimento de promoção,
transferência, demissão, assédio, vitimização ou outras formas de
intimidação).
Módulo 5 – Diretrizes e Interpretação de Requisitos
7. Apoio (ISO 37001)
7.2. Competência
7.2.2. Processo de Contratação de Pessoal
7.2.2.2. A organização deve implementar procedimentos que prevejam
que:
a) a due diligence seja conduzida nas pessoas antes de elas serem
contratadas, e no pessoal antes de serem transferidas ou promovidas,
para verificar se é apropriado contratá-los ou realocá-los e se razoável
acreditar que eles cumprirão com a política antissuborno. ISO
a) Os prêmios por desempenho, metas e outros elementos de 37001
incentivo de remuneração são analisados de forma periódica, para
verificar a existência de salvaguardas para impedi-los de incentivar o Requisitos
suborno.
b) Pessoal, a Alta Direção e o Órgão Diretivo (se existir) firmem uma
declaração a intervalos razoáveis e proporcionais ao risco de
suborno identificado.
Módulo 5 – Diretrizes e Interpretação de Requisitos
7. Apoio (ISO 37001)
7.3. Conscientização e Treinamento
Prover treinamento e conscientização antissuborno. Estes
treinamentos devem abordar questões:
a) Política antissuborno, os procedimentos e obrigação de cumprir.
b)Os riscos de suborno os danos causados a eles e à organização.
c) As circunstâncias nas quais o suborno pode ocorrer.
d)Como reconhecer e responder às solicitações ou ofertas de propina.
e)Como eles podem ajudar a prevenir e evitar suborno e reconhecer ISO
indicadores-chave de riscos de suborno. 37001
f) Sua contribuição para a eficácia do sistema, os benefícios de
melhoria e relato de suspeitas. Requisitos
g) Implicações e potenciais consequências.
h)Como e para quem são capazes de relatar preocupações.
i) Informações sobre treinamento e recursos disponíveis.
Módulo 5 – Diretrizes e Interpretação de Requisitos
7. Apoio (ISO 37001)
7.3. Conscientização e Treinamento (continuação...)
O pessoal deve receber conscientização e treinamento antissuborno
regularmente (a intervalos planejados), como apropriado e a
quaisquer mudanças de circunstâncias.
ISO
Conscientização e treinamentos
Parceiros de negócio que atuam 37001
em nome da organização.
Requisitos
sobre os procedimentos de
Reter informação documentada treinamentos, conteúdo e quando
e para quem foi dado.
ISO
Retreinamento: mudanças de cargo ou responsabilidade, políticas, 19600
procedimentos, estrutura, obrigações de compliance, atividades, produtos e
serviços, questões decorrentes de auditoria, análises, retroalimentação de
partes interessadas. Requisitos
Módulo 5 – Diretrizes e Interpretação de Requisitos
7. Apoio (ISO 19600)
7.3. Conscientização
7.3.1. Generalidades
Pessoas conscientes: política de compliance + seu papel e
contribuição para eficácia do sistema de gestão de
compliance.
Requisitos
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 37001)
8.2. Due diligence (continuação...)
A organização deve avaliar a natureza e a extensão do risco de
suborno em relação a transações, projetos, atividades, parceiros
de negócio e pessoal específicos, que se encontram dentro
destas categorias.
ISO
A due diligence deve ser atualizada em uma frequência definida. 37001
Requisitos
Nota: a organização pode concluir que é desnecessário realizar a
due diligence.
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 37001)
8.3. Controles Financeiros
A organização deve implementar controles financeiros que
gerenciam os riscos de suborno.
Requisitos
Quando não for possível atender aos requisitos A) e B) então
deve ser um fator a ser levado em consideração quando da
avaliação do risco de suborno.
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 37001)
8.7. Presentes, Hospitalidade, Doações e Benefícios
Similares
A organização deve implementar procedimentos que sejam concebidos
para prevenir a oferta, fornecimento ou aceitação de presentes,
hospitalidade, doações e benefícios similares onde a oferta, fornecimento
ou aceitação são ou poderiam ser razoavelmente percebidos como
suborno.
ISO
8.8. Gerenciamento Controles de Inadequação de 37001
Antissuborno
Sempre que due diligence realizada em transação, projeto, atividade ou Requisitos
relacionamento com parceiro de negócio, estabelecer que os riscos não
podem gerenciados por controles, a organização deve:
a) Tomar medidas para os riscos e a natureza da transação, para encerrar,
descontinuar assim que possível.
b) No caso de novas propostas, adiar ou recusara dar continuidade.
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 37001)
8.9. Levantando Preocupações
Procedimentos (para) que:
a) que o pessoal relate de boa-fé, ou com base em uma tentativa
razoável de convicção, suspeita ou real de suborno, ou qualquer
violação ou fragilidade fraqueza do sistema de gestão antissuborno
para a função de compliance antissuborno ou ao pessoal apropriado.
b) trate os relatos de forma confidencial para proteger identidade de
quem relatou e de outros envolvidos ou mencionados no relato. ISO
c) permitam o relato de forma anônima. 37001
d) proíbam retaliação e protejam aqueles que façam o relato de
retaliação. Requisitos
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 37001)
8.9. Levantando Preocupações (continuação...)
e) permitam que o pessoal receba orientações sobre o que fazer se
confrontando com preocupação ou situação que possa envolver
suborno.
Requisitos
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 37001)
8.10. Investigando e Lidando com Suborno
A organização deve implementar procedimentos que:
a) requeiram avaliação e investigação de qualquer suborno
(que seja relatado, detectado ou razoavelmente suspeito).
b) requeiram ação no caso em que a investigação revele
qualquer suborno.
c) deem poder e capacidade aos investigadores. ISO
d) requeiram cooperação na investigação. 37001
e) requeiram que a situação e os resultados da investigação
sejam relatados para a função de compliance antissuborno. Requisitos
f) requeiram confidencialidade.
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 37001)
8.10. Investigando e Lidando com Suborno
A investigação deve ser conduzida e relatada pelo pessoal que
não participa do papel ou da função que está sendo investigada.
Requisitos
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 19600)
8.1. Planejamento e controle operacional
A organização planeje, implemente e controle os processos
necessários para atender às obrigações de compliance, e
implementar ações determinadas em 6.1:
a) Definir os objetivos dos processos.
b) Estabelecer critérios para os processos.
c) Implementar um controle de processos. ISO
d) Manter informação documentada para se ter confiança de 19600
que os processos foram conduzidos como planejado.
Requisitos
Analisar
Tomar ações para
Controlar consequências de
mitigar efeitos
mudanças mudanças não
adversos.
intencionais
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 19600)
8.2. Estabelecendo controles e procedimentos
São necessários controles eficazes para assegurar que as
obrigações de compliance sejam atendidas e que o não
cumprimento seja impedido. Os tipos e níveis de controles
sejam projetados com rigor adequado; e que sempre possível
seja incorporados em processos organizacionais normais.
ISO
Exemplos de controles: políticas, procedimentos, aprovações, 19600
planos anuais de compliance, avaliações, etc.
Controles mantidos, periodicamente avaliados e verificados Requisitos
para assegurar sua eficácia contínua.
Considerar nos procedimentos: integração das obrigações,
monitoramento e medição contínuos, avaliação, modalidade de
relatos e caso de escalonamento de não cumprimento e riscos.
Módulo 6 – Diretrizes e Interpretação de Requisitos
8. Operação (ISO 19600)
8.3. Processos terceirizados
• Necessidade de controle e monitoramento.
• A terceirização de operações não costuma isentar
responsabilidades legais de compliance.
• Se houver qualquer terceirização, precisa realizar due
dilligence efetiva para assegurar que normas e
comprometimento com o compliance não seja reduzidos. ISO
• Considere riscos de compliance relacionados com outros 19600
• processos relacionados com o de terceira parte (exemplo:
obrigações de compliance em cláusulas contratuais). Requisitos
NOTA BRASILEIRA: Entende-se pelo termo due dilligence o processo que tem por
finalidade avaliar a natureza e a extensão dos riscos envolvidos, visando auxiliar na
tomada de decisão específica em relação a transações, projetos, atividades, parceiros
de negócios e pessoal.
Módulo 7
Diretrizes e Interpretação de
Requisitos – Parte 6
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 37001)
9.1. Monitoramento, medição, análise e avaliação
A organização deve determinar:
a) O que precisa ser monitorado e medido;
b) Quem é o responsável pelo monitoramento;
c) Os métodos para assegurar resultados válidos;
d) Quando o monitoramento e medição devem ser realizados;
e) Quando os resultados devem ser analisados e avaliados; ISO
f) Para quem e como estas informações devem ser reportadas. 37001
A organização deve reter informação documentada como
evidência dos métodos e dos resultados. Requisitos
A organização deve avaliar o desempenho antissuborno, a
eficiência e a eficácia do sistema de gestão antissuborno.
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 37001)
9.2. Auditoria Interna
9.2.1. Intervalos planejados
Prover informação sobre se o sistema de gestão antissuborno está em
conformidade, implementado e mantido eficaz.
Resumo dos resultados da análise crítica -> ao Órgão Diretivo (se existir) A
organização deve reter informação documentada da análise crítica.
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 37001)
9.3.2. Análise crítica pelo Órgão Diretivo
O Órgão Diretivo (se existir) deve conduzir análises críticas
periódicas do sistema de gestão antissuborno, baseadas na
informação fornecida pela Alta Direção e pela função de
compliance antissuborno.
Requisitos
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 37001)
9.4. Análise crítica pela Função de Compliance
Antissuborno
A função de compliance antissuborno deve avaliar, em uma
base contínua, se o sistema de gestão antissuborno está:
a) Adequado para gerenciar os riscos de suborno enfrentados
pela
organização. ISO
b) Sendo eficazmente implementado. 37001
Requisitos
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 19600)
9.1.3. Fontes de retroalimentação sobre desempenho de
compliance
Convém que estabeleça, implemente, avalie e mantenha
procedimentos para buscar e receber retroalimentação sobre
desempenho de compliance de uma série de fontes, incluindo:
a) Empregados, por exemplo, por meio de instalações de denúncia,
linhas telefônicas de apoio, retroalimentação, caixas de sugestões.
b) Clientes, por exemplo, por meio de sistema tratamento de ISO
reclamações. 19600
c) Fornecedores.
Requisitos
d) Regulamentadores.
e) Registros de controle de processo e registros de atividade.
Convém que a retroalimentação sirva como fonte de melhoria
contínua.
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 19600)
9.1.4. Métodos de coleta de informações
Convém que seja tomado cuidado para selecionar a variedade de
ferramentas apropriadas para o porte, escala, natureza e
complexidade. Exemplos de coleta de informações incluem:
a) relatórios ad hoc de não cumprimento da forma como surgem ou
são identificados.
b) informações de centrais de atendimento.
c) discussões informais, workshops. ISO
d) pesquisas de percepção 19600
e) observações, entrevistas, vistoria em instalações
Requisitos
f) auditorias e análises críticas
g) consulta das partes interessadas, solicitações de treinamento e
retroalimentação.
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 19600)
9.1.5. Análise e classificação de informações
Convém que um sistema seja desenvolvido para a classificação,
armazenamento e recuperação das informações.
Exemplo de critérios de classificação:
a) fonte
b) departamento
c) descrição do não cumprimento
d) referência de obrigação ISO
e) indicadores 19600
f) severidade
Requisitos
g) impacto real ou potencial.
Requisitos
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 19600)
9.2. Auditoria
a) Intervalos planejados
b) Prover informação sobre se o sistema de gestão está em
conformidade com critérios próprios e recomendações
normativas.
c) Implementado e mantido eficaz.
ISO
19600
Requisitos
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 19600)
9.2. Auditoria
Auditorias adicionais podem ser conduzidas.
a) Programa de auditoria
b) Frequência
c) Métodos
d) Responsabilidades
e) Leve em consideração importância de processos concernentes e
resultados de auditorias anteriores ISO
f) Critérios 19600
g) Métodos
Requisitos
h) Seleção de auditores
i) Objetividade
j) Imparcialidade
k) Relato para a direção
l) Informação documentada.
Módulo 7 – Diretrizes e Interpretação de Requisitos
9. Avaliação do desempenho (ISO 19600)
9.3.1. Análise crítica pela direção
Analise criticamente o sistema de gestão de compliance, a
intervalos planejados, para assegurar sua contínua adequação,
suficiência e eficácia.
Inclua considerações sobre Saídas (Recomendações)
ISO
37001
Requisitos
Módulo 8 – Diretrizes e Interpretação de Requisitos
10. Melhoria (ISO 19600)
10.1. Não conformidade, não cumprimento e ação corretiva
Convém que a organização:
a) Reaja à NC e/ou não cumprimento (medidas / gerencie as
consequências)
b) Avalie necessidade de ações para eliminar as causas.
c) Implemente ação necessária.
d) Analise criticamente a eficácia da ação corretiva. ISO
e) Faça alterações no sistema, se necessário. 19600
Ações corretivas apropriadas aos efeitos das não
conformidades e/ou não cumprimentos. Requisitos
Retenha informação documentada como evidência.
Módulo 8 – Diretrizes e Interpretação de Requisitos
10. Melhoria (ISO 19600)
10.1. Não conformidade, não cumprimento e ação corretiva
10.1.2. Escalonamento
Convém que um processo de escalonamento transparente e
oportuno seja adotado e comunicado para assegurar que todos os
não cumprimentos sejam levantados e escalonados para a direção
pertinente, em que a função de compliance seja informada e
capacitada a suportar o escalonamento.
ISO
Convém que o processo especifique para quem, como e quando 19600
questões são para serem relatadas e os prazos para os relatos.
Requisitos
ISO
19600
Requisitos
Módulo 9
Alguns Exemplos
Módulo 9 – Alguns exemplos
Riscos e Indicadores de Compliance
Consequências / Riscos (aplica-se • Sustentabilidade abalada
caso a caso): • Favorecimentos no âmbito de
• Impacto na imagem da organização pessoal
• Litígios entre partes (discordâncias) • Comprometimento abalado
• Processos jurídicos • Excesso de Análise de Subornos
• Atrasos em projetos • Facilitações comprometedoras
• Reclamações de partes interessadas • Legislações não cumpridas
• Dificuldade de Desenvolvimento de • Análises financeiras ineficazes
Cultura de Compliance • Denúncias não serem registradas
• Vantagens indevidas em processos • Críticas de Governança
comerciais • Despesas inesperadas
• Estratégia ineficaz • Fraudes de documentos
• Multas • Provedores sem qualificação ou
• Dificuldade de Gestão quanto a entendimento do propósito de
Controles Operacionais conduta ética
• Baixa fundamentação em Relatórios
de Compliance
Módulo 9 – Alguns exemplos
Riscos e Indicadores de Compliance
Indicadores (exemplos):
Pró-ativos:
a) Eficácia de Treinamentos (atentar quanto ao critério que foi determinado)
b) Eficácia de Controles Operacionais (determinar “pesos” em relação às
ocorrências)
c) Preocupações de Compliance e Antissuborno
d) % Avaliação de desempenho (deve ter um acompanhamento)
e) Fontes de Informações de Desempenho de Compliance (Clientes,
Colaboradores, Provedores
f) Contratos Analisados por Due Dilligence
g) Eficácia Orçamentária
h) Quase Acidentes de Compliance (exemplo: Procedimentos não executados
ou desconhecidos que dependem de treinamentos; identificados em
situações rotineiras por algum colaborador. Também podem ser originadas
tipicamente de preocupações)
i) Resultado de Análises técnicas de Segurança de Informações digitais
(baseado em testes lógicos).
j) Resultado de Pesquisas de Percepção.
Módulo 9 – Alguns exemplos
Riscos e Indicadores de Compliance
Indicadores (exemplos):
Reativos:
a) Consequências (perda de credibilidade, dificuldade de novos negócios, não
há convites)
b) Ocorrências recentes / tidas como antigas.
c) Cancelamentos de Acordos com terceiros
d) Denúncias
e) Ocorrências de Compliance e Antissuborno
f) Contatos de Partes Interessadas (reclamações, por exemplo)
Preditivos:
g) Riscos de não cumprimento (potencial de perda): exemplo tendências de
não cumprimento (taxa de variação de riscos graves em um determinado
período)
h) Tendência na assertividade orçamentária.
Módulo 10
Avaliação de Conhecimento
Módulo 10 – Avaliação de Conhecimento
Avaliação de Conhecimento
Revise o conteúdo
Avaliação de Conhecimento
Dúvidas