Módulo 2 - Interpr Req ISO 37001 e ISO 19600

ISO 37001 – Anticorrupção
ISO 19600 Compliance

Interpretação de Requisitos das Normas
O que é o programa de Integridade?
Fundamentos Básicos (Compliance)
Hoje o poder dos governos e das organizações empresariais, já não são exercidos
pela força direta e indireta, como se conhecia no passado. As modernas técnicas
de gestão e governança são aplicadas de forma induzida, para que a sociedade e
os indivíduos nas organizações sigam “diretrizes e normas” formuladas, para que
o comportamento social e operacional alcance os objetivos estabelecidos.
No contexto, as organizações vêm buscando a aplicação das novas técnicas de

Gestão e Governança, com base no trinômio de mercado internacional “GRC”
(Acrônimo de: Governança, Riscos e Compliance), remetendo a “conformidade”,
estar conforme, cumprir, garantir, prevenir...
O que é a ISO 19600?
Fundamentos Básicos (Compliance) – Norma não certificável
A norma internacional dispõe de instruções para o estabelecimento,

desenvolvimento, implementação, avaliação, manutenção e melhoria do sistema
de gestão da conformidade, visando garantir eficiência dentro da corporação.
Baseia-se também, nos princípios da boa governança, proporcionalidade,

transparência e sustentabilidade, sendo aplicáveis a empresas de qualquer porte,
desde que observadas sua estrutura, natureza e complexidade, para garantir que
sua essência seja preservada, tendo em vista que a norma foi gerada com o
intuito de orientar e não de certificar, possibilitando que as organizações criem
um sistema de gestão para atender apenas suas necessidades dentro de suas
possibilidades.
O que é a ISO 37001?
Fundamentos Básicos (Anticorrupção) – Norma Certificável
Também conhecida como norma anticorrupção ou antissuborno, é uma norma

internacional que fornece os requisitos e a devida orientação para estabelecer,
implantar, manter e aperfeiçoar um sistema de gestão anticorrupção.
Pode ser aplicada em qualquer organização, e diante de tantos escândalos ligados
às empresas estourando no cenário político brasileiro, ela funciona como um
diferencial. Seu objetivo principal é apoiar o combate aos atos ilícitos por meio de
uma cultura de integridade, transparência e conformidade com as leis e
regulamentações aplicáveis.
A norma ISO 37001 institui o combate ao suborno praticado tanto contra uma
organização e seus funcionários. Também é aplicada para combater os subornos
praticados e recebidos por terceiros, de forma direta ou indiretamente.
Objetivos do Curso
Sistema de Gestão de Compliance e Antissuborno
ISO 19600:2014 e ISO 37001:2016
Ressaltar os conhecimentos necessários para compreensão e interpretação de

requisitos para:
➢ Objetivos, escopo e aplicação dos requisitos das normas ISO 37001 e ISO
19600.
➢ Finalidade de um sistema de gestão e explicar os princípios da gestão.
➢ Combate ao suborno por meio de informações que ilustrem uma cultura de
integridade, transparência e conformidade com as leis e regulamentações
aplicáveis, com os requisitos normativos.
Conteúdo Programático
Tópicos
Conceitos, fundamentos e contexto normativo
Diretrizes e interpretação de requisitos
Avaliação de Conformidade
Estrutura das Normas
Legislação
Considerações finais
Sobre o curso
Disposição do Curso Material base e Complementar
O curso será realizado em formato 100% digital Poderão ser disponibilizados materiais de exemplo,
através da plataforma, com uso de slides com áudio, modelos, planilhas, documentos, manuais e
arquivos PDF, Exemplos, Modelos e Exercícios referências públicas disponibilizados para o
interativos. O acesso ao Curso será possível apenas download, assim como os Slides de apresentação, que
durante o período de vigência de sua assinatura. serão em formato PDF do material apresentados
durante o treinamento.
Suporte Técnico e Dúvidas Prazo de Realização
Para problemas técnicos como dificuldades em Você terá um prazo estabelecido pelo departamento
acessar, logar, liberar, ou processo de uso realize de treinamento interno para concluir todos os
acesso com sua área de treinamento para reportar o módulos e poderá repeti-los quantas vezes desejar. De
ocorrido. Para enviar dúvidas e interagir com o acordo com as regras de seu departamento de RH
instrutor e outros alunos, utilize o Fórum ou chats. Interno.
Certificado e Avaliação Recursos Extras Disponíveis
Ao final do treinamento, caso tenha realizado todo o Dentre os recursos extras disponíveis na plataforma,
treinamento, realizado os exercícios e tido podemos relacionar como disponíveis os Fóruns,
aproveitamento superior a 70% da avaliação, o chats, ouvidoria, consulta de materiais
certificado será automaticamente disponibilizado na complementares e suporte técnico disponível.
plataforma, podendo ser impresso e externamente
validado a qualquer momento.
Módulo 1
Fundamentos
Módulo 1 - Fundamentos
Termos e Definições
SUBORNO: Oferta, promessa, doação, aceitação ou solicitação
de uma vantagem indevida de qualquer valor que pode ser
financeira ou não financeira, direta ou indireta, e independente
de localização(ões), em violação às leis aplicáveis como um
incentivo ou recompensa para uma pessoa que está agindo ou
deixando de agir em relação ao desempenho das suas
obrigações.
ÓRGÃO DIRETIVO: Grupo ou órgão que tem a
responsabilidade e autoridade finais pelas atividades,
governança e políticas de uma organização, e ao qual a Alta
Direção se reporta e pelo qual a Alta Direção é responsabilizada.
FUNÇÃO DE COMPLIANCE ANTISSUBORNO: Pessoa(s)
com responsabilidade e autoridade para a operação do sistema
de gestão antissuborno.
PARCEIRO DE NEGÓCIO: Parte externa com a qual a
organização tem, ou planeja estabelecer, alguma forma de
relacionamento do negócio.
AGENTE PÚBLICO: Pessoa detentora de cargo legislativo,
administrativo ou judicial, seja por nomeação, eleição ou sucessão,
ou qualquer pessoa que exerça uma função pública, inclusive para
um órgão público ou uma empresa pública, ou qualquer agente ou
oficial de uma organização pública nacional ou internacional. Ou
qualquer candidato a cargo público.
TERCEIRA PARTE: Pessoa ou organismo (órgão) que é
independente da organização. Nota. Todos os parceiros de negócio
são terceiras partes, mas nem todas as terceiras partes são parceiros
de negócio.
CONFLITO DE INTERESSE: Situação onde os negócios,
finanças, famílias, interesses políticos ou pessoais podem interagir
no julgamento de pessoas no exercício das suas obrigações para a
organização.
DUE DILIGENCE: Processo para aprofundar a avaliação da
natureza e extensão dos riscos de suborno e ajudar as organizações
a tomar decisões em relação a transações, projetos, atividades,
parceiros de negócio e pessoal específico.
ALTA DIREÇÃO: Pessoa ou grupo de pessoas que dirige e
controla uma organização no nível mais alto.
CONSELHO DE ADMINISTRAÇÃO: Pessoa ou grupo de
pessoas que dirige uma organização, define orientações e a
quem a Alta Direção presta contas.
EMPREGADO: Individuo em um relacionamento
reconhecido como uma relação de trabalho em uma lei ou
prática nacional.
FUNÇÃO DE COMPLIANCE: Pessoa(s) com a
responsabilidade da gestão de compliance. Nota. De
preferência um indivíduo será designado responsável geral
pela gestão de compliance.
REQUISITOS DE COMPLIANCE: Requisito que uma
organização tem que cumprir.
COMPROMETIMENTO DE COMPLIANCE: Requisito
que uma organização decide cumprir.
OBRIGAÇÃO DE COMPLIANCE: Requisito de compliance ou
comprometimento de compliance.
COMPLIANCE: Atendimento de todas as obrigações de
compliance da organização. Nota. O compliance torna-se
sustentado quando incorporado na cultura de uma organização,
bem como no comportamento e na atitude de pessoas que
trabalham para ela. Nota. O entendimento comumente disseminado
para o termo compliance é de que se trata do conjunto de
mecanismos tendentes ao cumprimento de normas legais e
regulamentares políticas e diretrizes estabelecidas para o negócio e
para as atividades da organização. O compliance visa a prevenir,
detectar e sanar todo e qualquer desvio ou não cumprimento que
ocorra.
CULTURA DE COMPLIANCE: Valores, ética e crenças que
existem em toda a organização e interagem com as estruturas da
organização e sistemas de controle, para produzir normas de
comportamento que são favoráveis aos resultados de compliance.
CÓDIGO: Declaração de práticas desenvolvidas internamente
ou por um órgão internacional, nacional ou industrial, ou outra
organização. Nota. O Código pode ser obrigatório ou voluntário.
NORMAS ORGANIZACIONAIS E EMPRESARIAIS:
Códigos, boas práticas, estatutos, normas técnicas e industriais
documentadas, considerados pertinentes por uma organização.
AUTORIDADE REGULAMENTADORA: Organização
responsável por regulamentar ou exigir compliance com os
requisitos legislativos e outros requisitos.
TERCEIRIZAR (verbo): Fazer um arranjo onde uma
organização externa desempenha parte de uma função ou
processo de uma organização. Nota. Uma organização externa
está fora do sistema de gestão, embora a função terceirizada ou
processo esteja dentro do escopo.
Contexto da Gestão Antissuborno, o Compliance e a
Implementação
Atualmente as empresas têm o desafio de enfrentar
diversas mudanças regulatórias e de negócios, as quais
estão atribuindo novas exigências à área de
Compliance.
O ritmo dessas mudanças, incluindo convergência da
regulamentação global, atrelados à concorrência de
novas empresas, ao aumento da pressão dos
stakeholders e ao rápido avanço tecnológico, criaram
um ambiente complexo.
Além deste desafio está o risco dos danos à reputação
e sanções financeiras significativas que
frequentemente acompanham as falhas de
compliance.
Implementação
Organizações que pretendem ser bem-sucedidas em
longo prazo precisam manter uma cultura de
integridade e compliance. É necessário elucidar valores
fundamentais de governança corporativa e padrões
éticos e comunitários geralmente aceitos.
• Incorporar o compliance no comportamento das
pessoas que trabalham para uma organização
depende, sobretudo, da liderança em todos os níveis e
da transparência dos valores, bem como
reconhecimento e implementação de medidas para
promover um comportamento compatível. Caracteriza-
se a sustentabilidade em ambiente complexo.
Implementação
Estar em Compliance é cumprir as normas

legais e regulamentares, as políticas e as
diretrizes estabelecidas às atividades, bem
como prevenir, detectar e remediar qualquer
desvio ou não conformidade que possa
ocorrer.
Implementação
Implementação
A norma ISO 19600, já se tornou

referência importante para o tema.
Aprovada em 2014, provê diretrizes
para o estabelecimento,
desenvolvimento, implementação,
avaliação, manutenção e melhoria de
um Sistema de Gestão de
Compliance efetivo.
Implementação
Já a norma ISO 37301

(Anticorrupção) Requisitos com
Orientação para Uso, foi elaborada
pelo ISO TC 309 (Governança das
Organizações), e será uma norma
certificável com esquemas
governamentais dos países,
diferentemente da ISO 19600 (de
mesmo escopo, porém composta de
diretrizes).
Implementação
Especificamente, o Suborno, o prejuízo está intrínseco a uma série de

situações: dificulta o desenvolvimento e distorce a competição, corrói a
justiça, é um obstáculo para o alívio da pobreza, aumenta o custo de fazer
negócios, diminui a qualidade, perda da confiança e outros.
A lei não é suficiente para resolver o problema. As organizações podem contribuir

proativamente; sendo que o sistema antissuborno contribui para evitar danos de
envolvimento e riscos de suborno, os quais podem variar de acordo com a natureza, escala e
complexidade de atividades e negócios.
Implementação
Vale ressaltar que, em âmbito nacional, a Lei Anticorrupção e o Decreto nº

8.420/2015 não servem isoladamente à construção de um programa de
Compliance robusto e amparado por hábeis controles internos. As normas
ISO Compliance e Antissuborno caracterizam-se por modelos que atendem
aos mais diversos negócios, de maneira harmônica com peculiaridades
culturais e geográficas.
As normas ISSO 19600 (Sistema de Gestão de Compliance) e ISSO 37001 (Sistema de

Gestão Antissuborno) têm a mesma estrutura das demais normas ISO, possibilitando uma
implementação integrada para uma gestão de riscos completa e eficaz.
Implementação
O perfil da organização com tal sistema de gestão
refletirá os setores/segmentos internos:
Governança e
Avaliação de Riscos
Cultura
Pessoas e Políticas e
Competências Procedimentos
Comunicação e Análise de Dados e

Marketing Tecnologia
Monitoramento e Auditoria e
Gestão Controle
Implementação
A conformidade com as normas não

pode fornecer garantia de que
nenhum suborno tenha ocorrido ou
ocorrerá em relação à organização,
uma vez que não é possível eliminar
completamente os riscos associados.
Entretanto pode ajudar a organização
e implementar medidas razoáveis e
proporcionais.
Implementação
Módulo 2
Diretrizes e Interpretação de
Requisitos – Parte 1
Módulo 2 – Diretrizes e Interpretação de Requisitos
1. Escopo
Especifica requisitos e fornece orientações para um

sistema de gestão antissuborno. Pode ser
independente ou integrado.
Aborda sobre suborno nos setores público, privado

e sem fins lucrativos; pela organização e outros. Escopo
Aplicável apenas a suborno.
Requisitos aplicáveis a todos tipos de organizações.

2 e 3. Referências e Termos e Definições
Temos legislações nacionais e internacionais, no

âmbito federal, estadual e até municipal em alguns
casos.
Nota: Fique atento a área de atuação, revenda,

potenciais clientes e suas exigências, parceiros. Todos Leis
estes canais podem em algum momento te cobrar um
programa implementado.
4. Contexto da Organização (ISO 37001)
4.1. Entendendo a organização e seu contexto
A organização deve determinar as questões internas e
externas que são pertinentes para o seu propósito e que
afetem sua capacidade de alcançar os objetivos do seu
Sistema de Gestão. Estas questões incluem, sem limitação
os fatores:
a) Tamanho, estrutura e delegação de autoridade; ISO
b) Natureza e extensão das interações com agentes públicos; 37001
c) Localizações e setores;
d) Parceiros de negócio; Requisitos
e) Obrigações e deveres estatutários, regulatórios, contratuais e
profissionais aplicáveis;
f) Modelo de negócio;
g) Natureza, escala e complexidade;
h) Entidades sobre as quais tenha controle e entidades que exerçam
controle.
4.2. Entendendo as Necessidades e Expectativas de
Partes Interessadas
A organização deve determinar as partes interessadas que

são pertinentes para o Sistema de Gestão; e os requisitos
pertinentes destes.
ISO
Nota: na identificação dos requisitos das partes 37001
interessadas, uma organização pode distinguir entre
requisitos mandatórios e as expectativas não mandatórias e Requisitos
os comprometimentos voluntários das partes interessadas.
4.3. Determinação do escopo do Sistema de Gestão
Antissuborno
Determinar os limites e a aplicabilidade do Sistema de
Gestão. Para tanto considerar:
a) As questões internas e externas.
b) Os requisitos referidos (sobre partes interessadas).
c) Os resultados da avaliação de riscos. ISO
37001
Requisitos
O escopo deve estar disponível como informação documentada.
4.4. Sistema de gestão antissuborno
A organização deve estabelecer, documentar, implementar,

manter e, de forma contínua, analisar criticamente e, onde
necessário, melhorar o sistema de gestão, incluindo os
processos necessários e as suas interações.
ISO
37001
Deve conter medidas concebidas para identificar e avaliar o
risco, bem como prevenir, detectar e responder ao suborno. Requisitos
Deve ser razoável e proporcional, levando-se em conta os

fatores referidos em 4.3.
Nota: Não é possível eliminar completamente o risco de suborno, e nenhum

sistema será capaz de prevenir e detectar o suborno como um todo.
4.5. Processo de Avaliação de Riscos de Suborno
4.5.1. A organização deve realizar regularmente o processo de
avaliação:
a) Identificar riscos que possa antecipar de forma razoável.
b) Analisar, avaliar e priorizar os riscos de suborno identificados.
c) Avaliar a adequação e eficácia dos controles existentes para
mitigar os riscos de suborno avaliados.
ISO
4.5.2. Critérios para avaliar o nível de risco de suborno.
37001
4.5.3. O processo de avaliação de riscos deve ser analisado
criticamente:
Requisitos
a) Mudanças e novas informações (com base no tempo e frequência
definidos).
b) Mudanças significativas da estrutura ou atividades.
4.5.4. Reter informação documentada sobre o processo de
avaliação.
4.1. Entendendo a organização e seu contexto
Convém que a organização determine as questões internas e
externas como as relacionadas aos riscos de compliance, que
são pertinentes para a sua finalidade e que afetam sua
capacidade de atingir o(s) resultado(s) pretendido(s) de sistema
de gestão de compliance.
ISO
Ao fazer isto, convém que a organização considere uma ampla 19600
série de aspectos externos e internos, como os
contextos regulamentares, sociais e culturais, a situação Requisitos
econômica e as políticas, procedimentos, processos e recursos
internos.
4.2. Entendendo as Necessidades e Expectativas de
Partes Interessadas
Convém que a organização determine:
a) as partes interessadas que são pertinentes para o
Sistema de Gestão; e
b) Os requisitos pertinentes destes.
ISO
19600
Requisitos
4.3. Determinação do escopo do Sistema de Gestão
Compliance
Convém que a organização determine os limites e a
aplicabilidade do Sistema de Gestão. Convém que seja
considerado:
a) As questões internas e externas (item 4.1)
b) Os requisitos referidos (sobre partes interessadas) e ISO
identificação das obrigações de compliance (itens 4.2 e 4.5.1) 19600
Escopo prontamente disponível como informação Requisitos

documentada.
4.4. Sistema de gestão de compliance e princípios de boa
governança
Convém que a organização estabeleça, desenvolva,
implemente, avalie, mantenha e melhore continuamente um
sistema de gestão de compliance, incluindo os processos
necessários e as suas interações, levando em consideração os
princípios de governança: ISO
a) Acesso direto da função de compliance ao órgão 19600
regulamentador;
b) Independência da função de compliance; Requisitos
c) Autoridade e recursos alocados à função de compliance.
O sistema reflita os valores, objetivos, estratégia e riscos

de compliance da organização.
4.5. Obrigações de Compliance
4.5.1. Identificação das obrigações de compliance
Convém que a organização identifique obrigações de
compliance e suas implicações para atividades, produtos e
serviços. Que seja documentado (de acordo com porte,
complexidade, estrutura e operações) e inclua o
comprometimento de compliance. ISO
Exemplos de requisitos de Exemplos de comprometimento de 19600
compliance: compliance:
• Leis e regulamentos. • Acordos com grupos comunitários ou Requisitos
• Permissões, licenças ou outras formas organizações não governamentais.
de autorização. • Acordos com autoridades públicas e
• Ordens, regras ou diretrizes emitidas clientes.
por agências reguladoras. • Requisitos organizacionais
• Decisões de tribunais de justiça ou • Princípios / compromissos ambientais,
tribunais administrativos. voluntários.
• Tratados, convenções e protocolos • Acordos contratuais / normas
4.5. Obrigações de Compliance
4.5.2. Manutenção das obrigações de compliance
Convém que a organização disponha de processos para
identificar novas leis e alterações de leis, regulamentos,
códigos e outras obrigações de compliance para assegurar sua
continuidade.
Convém que haja processos para avaliar o impacto das ISO
mudanças identificas e para implementar quaisquer mudanças 19600
na gestão das obrigações de compliance.
Requisitos
4.6. Identificação, análise e avaliação dos riscos de
compliance
a) Identificar e avaliar os riscos de compliance; de forma
formal ou por abordagens alternativas.
b) Identificar os riscos de compliance relacionado a obrigações
de compliance às atividades, produtos, serviços e aspectos de
operações; identificando causas e consequências do não ISO
cumprimento. 19600
c) Analisar os riscos de compliance (causas, fontes de não
cumprimento, gravidade, consequências, probabilidade). Requisitos
d) Avaliar envolve definir o nível de risco e ações de controles.
e) Reavaliar periodicamente os riscos de compliance (em
mudanças).
Módulo 3
5. Liderança(ISO 37001)
5.1. Liderança e comprometimento
5.1.1. Órgão Diretivo
Quando a organização o tem, este deve:
a) aprovar a política antissuborno.
b) assegurar que a estratégia e a política estão alinhados.
c) receber e analisar criticamente, a intervalos planejados,
informações sobre o conteúdo e a operação do sistema. ISO
d) requerer que os recursos estejam alocados e atribuídos. 37001
e) Exercer razoável supervisão sobre a implementação do
sistema pela Alta Direção e sua eficácia. Requisitos
Estas atividades devem ser realizadas pela Alta Direção, caso

não haja um Órgão Diretivo.
5.1.2. Alta Direção
Deve demonstrar:
a) Assegurar que o sistema de gestão esteja estabelecido e
implementado.
b) assegurar a integração dos requisitos do sistema de gestão
nos processos.
c) Disponibilizar recursos. ISO
d) Comunicar interna e externamente sobre a política. 37001
e) Comunicar internamente a importância da gestão eficaz.
f) Assegurar que o sistema de gestão esteja concebido para Requisitos
alcançar seus objetivos.
g) Receber e analisar informações sobre o conteúdo e a
operação do sistema.
5.1.2. Alta Direção
h) Dirigir e apoiar o pessoal para contribuir com a eficácia do
sistema de gestão.
i) Promover uma cultura antissuborno.
j) Promover a melhoria contínua.
k) Apoiar papéis pertinentes da gestão.
l) Encorajar o uso de procedimentos de relato para subornos ISO
suspeitos e reais. 37001
m) Assegurar que o pessoal não sofra retaliação, discriminação
ou ação disciplinar por relatos de boa-fé ou com base em uma Requisitos
razoável convicção de violação ou suspeita.
n) Reportar para o Órgão Diretivo (se existir) sobre conteúdo e
operação do sistema de gestão e de alegações de subornos
sistemáticos ou graves.
5.2. Política Antisuborno
A Alta Direção deve estabelecer, manter e analisar criticamente
uma política que:
❖ Proíba o suborno / requeira o cumprimento de leis

aplicáveis / apropriada ao propósito / proveja estrutura para
alcançar os objetivos / inclua comprometimento para satisfazer ISO
os requisitos / encoraje o levantamento de preocupações com 37001
base na boa-fé ou em uma razoável convicção na confiança,
sem medo de represália / comprometimento com a melhoria Requisitos
contínua / explique a autoridade e independência da função de
compliance antissuborno / explique as consequências do não
cumprimento.
5.2. Política Antisuborno
A Alta Direção deve estabelecer, manter e analisar criticamente
uma política que:
• Deve estar disponível como informação documentada.
• Ser comunicada nos idiomas apropriados e também para os ISO

parceiros de negócio. 37001
• Disponível para partes interessadas, como apropriado. Requisitos

5.3. Papeis, Responsabilidades e autoridades
organizacionais
5.3.1. Papéis e responsabilidades A Alta Direção deve:
a) Ter total responsabilidade pela implementação e
conformidade com o sistema de gestão
b) Assegurar que responsabilidades e autoridade para os papéis
relevantes seja atribuídas e comunicadas. ISO
37001
Gestores devem ser responsáveis por requerer que os requisitos sejam
aplicados e cumpridos. Requisitos
O Órgão Diretivo (se existir), a Alta Direção e todo o pessoal devem ser
responsáveis por entender, cumprir e aplicar os requisitos.
5.3.2. Função de compliance antissuborno
A Alta Direção deve atribuir a uma função de compliance
antissuborno a responsabilidade e autoridade para:
a) Supervisionar a concepção e a implementação pela organização do
sistema de gestão antissuborno.
b) Prover aconselhamento e orientação para o pessoal sobre o sistema
e questões relativa a suborno.
c) Assegurar que o sistema esteja em conformidade com a norma. ISO
d) Reportar o desempenho do sistema ao órgão Diretivo (se existir) e 37001
à Alta Direção e outras funções de compliance, como apropriado.
Requisitos
A função deve ser provida de recursos e atribuída a pessoa(s) que tenha(m) competência,
posição, autoridade e independência apropriadas. / Ter acesso direto e imediato ao Órgão
Diretivo (se existir) e à Alta Direção. / Pode atribuir funções a pessoas externas à
organização. Neste caso, a Alta Direção deve assegurar que pessoal específico tenha
responsabilidade e autoridade sobre aquelas partes da função.
5.3.3. Tomada de decisão delegada
Onde a Alta Direção delegar para o pessoal a autoridade para tomar
decisões em relação às quais existe mais do que um baixo risco de
suborno, a organização deve estabelecer e manter um processo de
tomada de decisão ou um conjunto de controles que requeira que o
processo de decisão e o nível de autoridade do(s) tomador(es) da
decisão sejam apropriados e livres de conflitos de interesse reais ou
potenciais. A Alta Direção deve assegurar que estes processos sejam ISO
periodicamente analisados e como parte do seu papel e 37001
responsabilidade para a implementação e a conformidade com o
sistema de gestão antissuborno. Requisitos
Nota: A delegação da tomada de decisão não exime a Alta Direção ou Órgão

Diretivo (se existir) das suas obrigações e responsabilidades.
5.1. Liderança e comprometimento
Convém que o conselho de administração e Alta Direção
demonstrem liderança e comprometimento por:
a) Estabelecer e defender valores fundamentais da organização.
b) assegurar que os objetivos e política de compliance sejam
estabelecidos.
c) Procedimentos e processos. ISO
d) Recursos necessários. 19600
e) Comunicação da importância.
f) Dirigir e apoiar pessoas Requisitos
g) Alinhamento de metas operacionais e obrigações de
compliance
g) Mecanismos de responsabilização por prestar contas.
h) Promover melhoria contínua
5.2. Política de compliance
5.2.1. Generalidades
Convém que o conselho de administração e a Alta Direção, de
preferência em consulta com os empregados, estabeleçam uma
política de compliance que:
a) Seja apropriada ao propósito / estrutura para objetivos /
comprometimento para satisfazer requisitos e com a melhoria ISO
contínua. 19600
b) Esteja disponível como informação documentada / linguagem
simples / comunicada e disponível para todos os empregados e Requisitos
partes interessadas.
c) Seja alinhada com os valores, os objetivos e a estratégia; e
aprovada pelo conselho de administração.
5.2. Política de compliance
5.2.2. Desenvolvimento
No desenvolvimento da política de compliance, convém
considerar:
a) Obrigações internacionais, regionais ou locais específicas.
b) Estratégia, objetivos e valores.
c) Estrutura e quadro de governança da organização. ISO
d) Natureza e nível de risco associado ao não cumprimento. 19600
e) Outras políticas, normas e códigos internos.
Requisitos
5.3. Papéis, responsabilidades e autoridades organizacionais
Convém que a Alta Direção assegure que as responsabilidades e
autoridades dos papéis pertinentes sejam atribuídas e
comunicadas.
Convém que seja atribuído responsabilidade e autoridade para a
função de compliance para: ISO
a) assegurar que o sistema de gestão seja consistente com a 19600
norma.
b) relatar o desempenho do sistema para o órgão regulamentador Requisitos
e a Alta Direção.
5.3.2. Atribuição de responsabilidade pelo compliance na
organização
A participação ativa e a supervisão do conselho de administração
e da Alta Direção são parte integrante de um sistema efetivo;
contribuição para que os empregados realizem obrigações de
compliance de forma eficaz. ISO
Conselho de administração 19600
EXEMPLO
e Alta Direção
Requisitos
Organizações podem ter pessoa dedicada ou Comitê de Compliance.
Todos gestores têm papéis a desempenhar no que diz respeito ao

compliance.
5.3.3. Papel e responsabilidade do conselho de administração
e da Alta Direção
Convém que o conselho de administração e Alta Direção:
a) Estabeleçam um política de compliance
b) Assegurem comprometimento com o compliance e que o não
cumprimento e o comportamento incompatível sejam tratados ISO
c) Responsabilidades de compliance em tomadas de posição. 19600
d) Acesso a: tomadores de decisão seniores; níveis da
organização; informações e dados necessários; consultoria em Requisitos
leis, regulamentos, códigos e normas.
e) Independência e não conflitos na função de compliance.
5.3.3. Papel e responsabilidade do conselho de administração
e da Alta Direção
Convém que a Alta Direção:
a) aloque recursos adequados
b) responsabilidades e autoridades definidas
c) sistemas eficazes e oportunos de relatórios ISO
d) medidas-chaves de desempenho ou resultados 19600
e) atribuição de responsabilidade para relato do desempenho
para o órgão regulamentador e a Alta Direção. Requisitos
5.3.4. Função de compliance
Nem todas organizações irão criar uma função de compliance
específica, porém pode haver atribuição a uma posição existente.
Convém que a função de compliance, trabalhando em conjunto
com a Alta Direção:
a) Identifique obrigações de compliance e traduza e políticas, ISO
procedimentos e processos acionáveis. 19600
b) Forneça – apoio contínuo de treinamento para empregados.
c) Inclua responsabilidades de compliance em descrições de Requisitos
cargos.
d) Estabeleça indicadores de desempenho de compliance.
5.3.4. Função de compliance (continuação...)
e) Analise o desempenho para identificar ações corretivas.
f) Identifique riscos de compliance e gestão destes relativos a
terceiros.
g) Assegurar que o sistema seja analisado criticamente a
intervalos. ISO
h) Assegure acesso a aconselhamento profissional. 19600
i) Acesso a recursos sobre procedimentos.
Função de compliance Requisitos
• Não tenha conflito de interesse
• Integridade
• Comprometimento
• Comunicação eficaz e habilidade de influência
• Competência.
5.3.6. Responsabilidade da Direção
a) Cooperar com e apoiar a função de compliance
b) Cumprir e ser visto cumprindo políticas e outros; participar e
apoiar treinamentos de compliance
c) Identificar e comunicar riscos de compliance
d) Coaching para comportamento compatível. ISO
e) Incentivar os empregados a levantar preocupações de 19600
compliance
f) Supervisionar acordos de terceirização para assegurar Requisitos
obrigações de compliance.
5.3.5. Responsabilidades do empregado
a) Adiram às obrigações de compliance
b) Participem de treinamentos de acordo com o sistema de gestão
de compliance
c) Utilizem os recursos disponíveis
d) Relatem preocupações de compliance, problemas e falhas. ISO
19600
Requisitos
Módulo 4
6. Planejamento(ISO 37001)
6.1. Ações para abordar riscos e oportunidades
Considerar questões referidas em 4.1., os requisitos referidos em
4.2., os riscos identificados em 4.5., e as oportunidades para
melhoria que precisam ser abordados para:
a) Garantia razoável que o sistema alcance seus objetivos.
b) Prevenir ou reduzir efeitos indesejados pertinentes aos objetivos
e à política antissuborno.
ISO
c) Monitorar a eficácia do sistema de gestão antissuborno.
37001
d) Alcançar a melhoria contínua.
Requisitos
Nota: Riscos podem ser positivos (Oportunidades) ou Negativos
(Fraquezas).
6.2. Objetivos antissuborno e planejamento para alcançá-
los
A organização deve Estabelecer
objetivos do sistema de gestão A organização deve determinar
antissuborno nas funções e níveis (PLANO DE AÇÃO)
pertinentes.
• Consistentes com a política • O que será feito

antissuborno • Quais recursos serão requeridos ISO
• Mensuráveis (se praticável) • Quem será o responsável
• Levar em conta fatores aplicáveis em • Quando serão alcançados
37001
4.1, 4.2 e 4.5 • Como os resultados serão avaliados e
• Alcançáveis relatados Requisitos
• Monitoráveis • Quem irá impor sanções ou
• Comunicáveis penalidades
• Atualizados
• Reter informação documentada sobre
os objetivos
6.1. Ações para abordar os riscos de compliance
Considerar questões referidas em 4.1., os requisitos referidos
em 4.2., os princípios da boa governança referidos em 4.4, as
obrigações de compliance identificados em 4.5 e os resultados
da avaliação de riscos de compliance referidos em 4.6; para
determinar os riscos que necessitam ser abordados para:
a) Garantir os resultados pretendidos ISO
b) Prevenir, detectar e reduzir efeitos indesejáveis 19600
c) Promover melhoria contínua.
Requisitos
Integrar nos processos / avaliar a Eficácia das ações.
Nota: Reter informação documentada sobre riscos e ações.

6.2. Objetivos de compliance e planejamento para alcançá-los
Convém que seja estabelecido

objetivos do sistema de gestão de A organização deve determinar
compliance nas funções e níveis (PLANO DE AÇÃO)
pertinentes.
• Consistentes com a política de • O que será feito

compliance • Quais recursos serão requeridos ISO
• Mensuráveis (se possível) • Quem será o responsável
• Levar em consideração os requisitos • Quando serão concluídos
19600
aplicáveis • Como os resultados serão avaliados.
• Monitoráveis Requisitos
• Comunicáveis
• Atualizados
Reter informação documentada sobre os objetivos e sobre as ações

planejadas para alcança-los.
Módulo 5
7. Apoio (ISO 37001)
7.1. Recursos
A organização deve determinar e fornecer os recursos
necessários para o estabelecimento, implementação,
manutenção e melhoria contínua do Sistema de Gestão
Antissuborno.
ISO
37001
Requisitos
7.2. Competência
A organização deve:
a) Determinar a competência necessária de pessoa(s) que
realiza(m) trabalho(s) sob o seu controle e que afeta(m) o seu
desempenho antissuborno.
b) Assegurar que essas pessoas sejam competentes com base ISO
em educação, treinamento ou experiência apropriados. 37001
c) Onde aplicável, tomar ações para adquirir e manter a
competência necessária e avaliar a eficácia das ações tomadas. Requisitos
d) Reter informação documentada apropriada como evidência
de competência.
7.2. Competência
7.2.2. Processo de Contratação de Pessoal
7.2.2.1. A organização deve implementar procedimentos tais que:
a) As condições de contratação requeiram que o pessoal cumpra
com a política antissuborno e com o sistema de gestão
antissuborno, e que seja dado à organização o direito de adotar
medidas disciplinares no caso de não cumprimento;
ISO
b) Dentro de um período de tempo razoável do início da sua
37001
contratação, o pessoal receba uma cópia ou que seja fornecido
acesso à política antissuborno e treinamento em relação a essa Requisitos
política;
c) Pessoal não sofra retaliações, discriminação (por exemplo
ameaças, isolamento, rebaixamento, impedimento de promoção,
transferência, demissão, assédio, vitimização ou outras formas de
intimidação).
7.2. Competência
7.2.2. Processo de Contratação de Pessoal
7.2.2.2. A organização deve implementar procedimentos que prevejam
que:
a) a due diligence seja conduzida nas pessoas antes de elas serem
contratadas, e no pessoal antes de serem transferidas ou promovidas,
para verificar se é apropriado contratá-los ou realocá-los e se razoável
acreditar que eles cumprirão com a política antissuborno. ISO
a) Os prêmios por desempenho, metas e outros elementos de 37001
incentivo de remuneração são analisados de forma periódica, para
verificar a existência de salvaguardas para impedi-los de incentivar o Requisitos
suborno.
b) Pessoal, a Alta Direção e o Órgão Diretivo (se existir) firmem uma
declaração a intervalos razoáveis e proporcionais ao risco de
suborno identificado.
7.3. Conscientização e Treinamento
Prover treinamento e conscientização antissuborno. Estes
treinamentos devem abordar questões:
a) Política antissuborno, os procedimentos e obrigação de cumprir.
b)Os riscos de suborno os danos causados a eles e à organização.
c) As circunstâncias nas quais o suborno pode ocorrer.
d)Como reconhecer e responder às solicitações ou ofertas de propina.
e)Como eles podem ajudar a prevenir e evitar suborno e reconhecer ISO
indicadores-chave de riscos de suborno. 37001
f) Sua contribuição para a eficácia do sistema, os benefícios de
melhoria e relato de suspeitas. Requisitos
g) Implicações e potenciais consequências.
h)Como e para quem são capazes de relatar preocupações.
i) Informações sobre treinamento e recursos disponíveis.
7.3. Conscientização e Treinamento (continuação...)
O pessoal deve receber conscientização e treinamento antissuborno
regularmente (a intervalos planejados), como apropriado e a
quaisquer mudanças de circunstâncias.
Programas de conscientização Atualizados.
ISO
Conscientização e treinamentos
Parceiros de negócio que atuam 37001
em nome da organização.
Requisitos
sobre os procedimentos de
Reter informação documentada treinamentos, conteúdo e quando
e para quem foi dado.
Nota: requisitos de conscientização e treinamento para os parceiros de negócio podem

ser comunicadas por meio de requisitos contratuais ou similares.
7.4. Comunicação
A organização deve determinar as comunicações internas e
externas pertinentes para o Sistema de Gestão Antissuborno,
incluindo:
a) o que, quando, com quem, como e quem comunica, os
idiomas nos quais se comunicar.
A política antissuborno deve estar disponível para todo o ISO
pessoal da organização e aos parceiros de negócio; ser 37001
comunicada diretamente e publicada por meio de todos os
canais de comunicação, internos e externos da organização, Requisitos
conforme apropriado.
7.5. Informação documentada
O Sistema de Gestão deve incluir informação documentada:
a) Requerida pela norma.
b) Determinada pela própria organização.
7.5.2. Criando e atualizando ISO

A organização deve assegurar: 37001
a) Identificação e descrição (título, data, autor, etc).
b) Formato (idioma, versão de software, gráficos) e meio Requisitos
(físico, eletrônico).
c) Análise crítica e aprovação quanto à adequação e
suficiência.
7.5.3. Controle da informação documentada
O controle deve assegurar:
a) Disponível e adequada ao uso.
b) Proteção (contra perda de confiabilidade, uso impróprio ou
perda integridade).
ISO
A informação deve ser controlada quanto a: 37001
a) Distribuição, acesso, recuperação e uso.
b) Armazenamento e preservação, Alterações, Retenção, Requisitos
Disponível.
Aqueles de origem externa -> identificada e controlada.

7.1. Recursos
A organização determine e forneça os recursos necessários para
o estabelecimento, desenvolvimento, implementação,
avaliação, manutenção e melhoria contínua do Sistema de
Gestão Antissuborno.
Os recursos incluem recursos humanos e financeiros, como
acesso e aconselhamento externo e habilidades especializadas, ISO
infraestrutura, material de referência e as obrigações legais, 19600
desenvolvimento profissional e tecnologia.
Requisitos
7.2. Competência e treinamento
7.2.1. Competência
Convém que a organização:
a) Determine as competências necessárias do(s) empregado(s)
que faz(em) trabalho sob o seu controle e que afeta(m) o
desempenho do sistema de gestão de compliance.
b) Assegure que esses empregados sejam competentes com ISO
base educação, treinamento e/ou experiência de trabalho. 19600
c) Onde aplicável, tome ações para adquirir a competência
necessária e avalie a eficácia das ações tomadas. Requisitos
d) Retenha informação documentada adequada, incluindo
evidências de competência.
7.2.2. Treinamento
O órgão regulamentador, a direção e todos os empregados têm
obrigações de compliance.
O objetivo do programa de treinamento é assegurar a
competência.
Convém que a educação e treinamento sejam: ISO
a) adaptados às obrigados de riscos de compliance 19600
b) avaliação de lacunas de conhecimento
c) por ocasião da admissão e contínuos Requisitos
d) Alinhados com o programa de treinamento
e) práticos e de fácil compreensão
f) relevantes
g) flexíveis
7.2.2. Treinamento (continuação...)
h) avaliados quanto a eficácia
i) Atualizados
j) registrados e retidos.
ISO
Retreinamento: mudanças de cargo ou responsabilidade, políticas, 19600
procedimentos, estrutura, obrigações de compliance, atividades, produtos e
serviços, questões decorrentes de auditoria, análises, retroalimentação de
partes interessadas. Requisitos
7.3. Conscientização
Pessoas conscientes: política de compliance + seu papel e
contribuição para eficácia do sistema de gestão de
compliance.
7.3.2. Comportamento ISO

7.3.2.1. Generalidades 19600
O comportamento que cria e apoia seja incentivado e que o
comportamento que compromete não seja tolerado. Requisitos
7.3.2. Comportamento
7.3.2.2. Papel da Alta Direção ao incentivar o compliance
a) Alinhar seus valores, objetivos e estratégia a fim de colocar
o compliance adequadamente.
b) Comunicar seu comprometimento; Incentivar todos
empregados a aceitar a importância de alcançar os objetivos de ISO
compliance. 19600
c) Criar um ambiente onde o relato de não cumprimento é
incentivado e que não haverá retaliação. Requisitos
d) Incentivar os empregados a fazer sugestões.
7.3.2.2. Papel da Alta Direção ao incentivar o compliance
e) Assegurar que o compliance seja incorporado às iniciativas
(cultura).
f) Identificar e agir para correção.
g) Assegurar que as políticas organizacionais apoiem e ISO
incentivem o compliance. 19600
h) Assegura que objetivos e metas operacionais não
comprometam comportamento compatível. Requisitos
7.3.2.3. Cultura de compliance
O desenvolvimento requer o comprometimento ativo, visível,
consistente e sustentado do conselho de administração da Alta
Direção e direção a um padrão comum de comportamento,
publicado, e que seja requerido em todas as áreas da organização. ISO
Evidências de cultura de compliance: 19600
a) Requisitos implementados.
b) Empregados compreendem a relevância das obrigações de Requisitos
compliance.
c) Remediação por não cumprimento.
d) O papel da função de compliance e os seus objetivos
valorizados.
e) Empregados incentivados a levantar preocupações.
7.4. Comunicação
Convém que a organização determinar as comunicações
internas e externas relevantes para o Sistema de Gestão,
incluindo: o que, quando, com quem, para quem e como
comunicar.
7.4.2. Comunicação interna 7.4.3. Comunicação externa
ISO
Métodos adequados para que a Aborde todas partes 19600
mensagem de compliance seja interessadas. Pode incluir: sites,
ouvida e compreendida. e-mail´s, imprensa, anúncios,
Estabelecer expectativa quanto boletins, relatórios, discussões Requisitos
ao não cumprimento. informais. Incentivar a
compreensão e aceitação do
comprometimento.
7.5.1. Generalidades:
Convém que o Sistema de Gestão inclua: informação
documentada:
a) Recomendada pela norma.
b) Determinada pela própria organização.
ISO
7.5.2. Criando e atualizando: 19600
A organização assegure:
c) Identificação e descrição (título, data, autor, etc). Requisitos
d) Formato (idioma, versão de software, gráficos); e
e) Meio (físico, eletrônico).
f) Análise crítica e aprovação quanto à adequação e
suficiência.
O controle assegure:
a) Disponível e adequada ao uso.
b) Proteção (contra perda de confiabilidade, uso impróprio ou
perda integridade).
ISO
A informação seja controlada quanto a: 19600
c) Distribuição, acesso, recuperação e uso.
d) Armazenamento e preservação Requisitos
e) Alteração
f) Retenção
g) Disponível
h) Eliminação.
Aqueles de origem Identificada e

externa controlada. ISO
19600
Pode ser preparada com finalidade de obtenção de
Requisitos
aconselhamento jurídico, portanto pode ser objeto de
privilégio legal.
Módulo 6
8. Operação (ISO 37001)
8.1. Planejamento e controles operacionais
A organização deve planejar, implementar, analisar e controlar
os processos necessários para atender aos requisitos do sistema
de gestão antissuborno, e implementar ações determinadas em
6.1:
a) Estabelecer critérios para os processos.
b) Implementar controle dos processos. ISO
c) Manter informação documentada para se ter confiança de 37001
que os processos foram conduzidos como planejado.
Requisitos
Analisar consequências de Controlar mudanças
mudanças não intencionais
Assegurar que processos

Tomar ações para mitigar
terceirizados sejam
efeitos adversos.
controlados.
8.2. Due diligence
Quando o processo de avaliação dos riscos de suborno, avaliar
mais do que um baixo risco de suborno em relação a:
a) Categorias específicas de transações, projetos ou atividades;
b) Relacionamentos planejados ou em andamento com
parceiros de negócio, ou
c) Categorias especificas de pessoal em determinadas posições. ISO
37001
Requisitos
8.2. Due diligence (continuação...)
A organização deve avaliar a natureza e a extensão do risco de
suborno em relação a transações, projetos, atividades, parceiros
de negócio e pessoal específicos, que se encontram dentro
destas categorias.
ISO
A due diligence deve ser atualizada em uma frequência definida. 37001
Requisitos
Nota: a organização pode concluir que é desnecessário realizar a
due diligence.
8.3. Controles Financeiros
A organização deve implementar controles financeiros que
gerenciam os riscos de suborno.
8.4. Controles Não Financeiros

A organização deve implementar controles não financeiros que
gerenciem os riscos de suborno em áreas como compras, ISO
operação, vendas, comercial, recursos humanos, atividades 37001
legais e regulatórias.
Requisitos
8.5. Implementação de Controles Antissuborno por
Organizações Controladas e por Parceiros de Negócio
Procedimentos que requeiram que todas outras organizações
sobre as quais há controle:
a) Implementem o sistema de gestão antissuborno, ou
b) Implementem seus próprios controles antissuborno.
ISO
37001
Nota: uma organização tem controle sobre outra se ela controlar,
direta ou indiretamente a gestão da organização. Requisitos
8.5. Implementação de Controles Antissuborno por
Organizações Controladas e por Parceiros de Negócio
Em relação aos parceiros de negócio não controlados:
a) A organização deve determinar se o mesmo tem controles
antissuborno.
b) Quando não há controles antissuborno ou não seja possível
verificar: ISO
• requerer a implementação; 37001
• ser fator em consideração na avaliação de riscos de
suborno, bem como a maneira com gerenciar os riscos. Requisitos
8.6. Comprometimentos Antissuborno
Para os parceiros de negócio que possam representar mais do
que um baixo risco de suborno, deve ser implementado
procedimentos que:
a) O parceiro de negócio se comprometa em prevenir o
suborno em seu nome ou para o benefício do parceiro.
b) A organização seja capaz de encerrar o relacionamento com ISO
o parceiro no caso de suborno. 37001
Requisitos
Quando não for possível atender aos requisitos A) e B) então
deve ser um fator a ser levado em consideração quando da
avaliação do risco de suborno.
8.7. Presentes, Hospitalidade, Doações e Benefícios
Similares
A organização deve implementar procedimentos que sejam concebidos
para prevenir a oferta, fornecimento ou aceitação de presentes,
hospitalidade, doações e benefícios similares onde a oferta, fornecimento
ou aceitação são ou poderiam ser razoavelmente percebidos como
suborno.
ISO
8.8. Gerenciamento Controles de Inadequação de 37001
Antissuborno
Sempre que due diligence realizada em transação, projeto, atividade ou Requisitos
relacionamento com parceiro de negócio, estabelecer que os riscos não
podem gerenciados por controles, a organização deve:
a) Tomar medidas para os riscos e a natureza da transação, para encerrar,
descontinuar assim que possível.
b) No caso de novas propostas, adiar ou recusara dar continuidade.
8.9. Levantando Preocupações
Procedimentos (para) que:
a) que o pessoal relate de boa-fé, ou com base em uma tentativa
razoável de convicção, suspeita ou real de suborno, ou qualquer
violação ou fragilidade fraqueza do sistema de gestão antissuborno
para a função de compliance antissuborno ou ao pessoal apropriado.
b) trate os relatos de forma confidencial para proteger identidade de
quem relatou e de outros envolvidos ou mencionados no relato. ISO
c) permitam o relato de forma anônima. 37001
d) proíbam retaliação e protejam aqueles que façam o relato de
retaliação. Requisitos
8.9. Levantando Preocupações (continuação...)
e) permitam que o pessoal receba orientações sobre o que fazer se
confrontando com preocupação ou situação que possa envolver
suborno.
A organização deve assegurar que todo pessoal esteja ciente

ISO
dos procedimentos de relato.
37001
Requisitos
8.10. Investigando e Lidando com Suborno
A organização deve implementar procedimentos que:
a) requeiram avaliação e investigação de qualquer suborno
(que seja relatado, detectado ou razoavelmente suspeito).
b) requeiram ação no caso em que a investigação revele
qualquer suborno.
c) deem poder e capacidade aos investigadores. ISO
d) requeiram cooperação na investigação. 37001
e) requeiram que a situação e os resultados da investigação
sejam relatados para a função de compliance antissuborno. Requisitos
f) requeiram confidencialidade.
8.10. Investigando e Lidando com Suborno
A investigação deve ser conduzida e relatada pelo pessoal que
não participa do papel ou da função que está sendo investigada.
A organização pode indicar um parceiro de negócio para

conduzir a investigação e relato de resultados ao pessoal que
não participa da função ou do papel que está sendo ISO
investigado. 37001
Requisitos
8.1. Planejamento e controle operacional
A organização planeje, implemente e controle os processos
necessários para atender às obrigações de compliance, e
implementar ações determinadas em 6.1:
a) Definir os objetivos dos processos.
b) Estabelecer critérios para os processos.
c) Implementar um controle de processos. ISO
d) Manter informação documentada para se ter confiança de 19600
que os processos foram conduzidos como planejado.
Requisitos
Analisar
Tomar ações para
Controlar consequências de
mitigar efeitos
mudanças mudanças não
adversos.
intencionais
8.2. Estabelecendo controles e procedimentos
São necessários controles eficazes para assegurar que as
obrigações de compliance sejam atendidas e que o não
cumprimento seja impedido. Os tipos e níveis de controles
sejam projetados com rigor adequado; e que sempre possível
seja incorporados em processos organizacionais normais.
ISO
Exemplos de controles: políticas, procedimentos, aprovações, 19600
planos anuais de compliance, avaliações, etc.
Controles mantidos, periodicamente avaliados e verificados Requisitos
para assegurar sua eficácia contínua.
Considerar nos procedimentos: integração das obrigações,
monitoramento e medição contínuos, avaliação, modalidade de
relatos e caso de escalonamento de não cumprimento e riscos.
8.3. Processos terceirizados
• Necessidade de controle e monitoramento.
• A terceirização de operações não costuma isentar
responsabilidades legais de compliance.
• Se houver qualquer terceirização, precisa realizar due
dilligence efetiva para assegurar que normas e
comprometimento com o compliance não seja reduzidos. ISO
• Considere riscos de compliance relacionados com outros 19600
• processos relacionados com o de terceira parte (exemplo:
obrigações de compliance em cláusulas contratuais). Requisitos
NOTA BRASILEIRA: Entende-se pelo termo due dilligence o processo que tem por
finalidade avaliar a natureza e a extensão dos riscos envolvidos, visando auxiliar na
tomada de decisão específica em relação a transações, projetos, atividades, parceiros
de negócios e pessoal.
Módulo 7
9. Avaliação do desempenho (ISO 37001)
9.1. Monitoramento, medição, análise e avaliação
A organização deve determinar:
a) O que precisa ser monitorado e medido;
b) Quem é o responsável pelo monitoramento;
c) Os métodos para assegurar resultados válidos;
d) Quando o monitoramento e medição devem ser realizados;
e) Quando os resultados devem ser analisados e avaliados; ISO
f) Para quem e como estas informações devem ser reportadas. 37001
A organização deve reter informação documentada como
evidência dos métodos e dos resultados. Requisitos
A organização deve avaliar o desempenho antissuborno, a
eficiência e a eficácia do sistema de gestão antissuborno.
9.2. Auditoria Interna
9.2.1. Intervalos planejados
Prover informação sobre se o sistema de gestão antissuborno está em
conformidade, implementado e mantido eficaz.
9.2.2. Programa de auditoria

a) Frequência
b) Critérios ISO
c) Escopo 37001
d) Objetividade
e) Imparcialidade Requisitos
f) Reporte para gerência, função de compliance antissuborno, Alta
Direção e Órgão Diretivo (se existir)
g) Informação documentada.
9.2.3. Devem ser razoáveis, proporcionais e baseadas em risco.
9.2.4. Objetividade e imparcialidade
9.3.1. Análise crítica pela direção
A alta direção deve analisar criticamente o sistema de gestão
antissuborno, a intervalos planejados, para assegurar sua
contínua adequação, suficiência e eficácia.
Levar em consideração Saídas (Ações e Decisões)
• Situação de ações de análises de • Oportunidades para melhoria

direções anteriores • Qualquer necessidade de mudança no ISO
• Mudanças externas e internas SGQ 37001
• Informação sobre o desempenho • Necessidade de recursos.
• NC´s e ações corretivas, resultados,
auditorias, relatos de suborno, Requisitos
investigações, natureza e extensão
dos riscos / Eficácia das ações sobre
riscos de suborno
• Oportunidades para melhoria.
Resumo dos resultados da análise crítica -> ao Órgão Diretivo (se existir) A
organização deve reter informação documentada da análise crítica.
9.3.2. Análise crítica pelo Órgão Diretivo
O Órgão Diretivo (se existir) deve conduzir análises críticas
periódicas do sistema de gestão antissuborno, baseadas na
informação fornecida pela Alta Direção e pela função de
compliance antissuborno.
Manter as informações documentadas. ISO

37001
Requisitos
9.4. Análise crítica pela Função de Compliance
Antissuborno
A função de compliance antissuborno deve avaliar, em uma
base contínua, se o sistema de gestão antissuborno está:
a) Adequado para gerenciar os riscos de suborno enfrentados
pela
organização. ISO
b) Sendo eficazmente implementado. 37001
A função de compliance antissuborno deve reportar a Requisitos

intervalos planejados e em uma base ad hoc, para o Órgão
Diretivo (se existir) e para a Alta Direção, sobre a adequação e
implementação do sistema, incluindo os resultados de
investigações e auditorias.
9.1. Monitoramento, medição, análise e avaliação
Convém que a organização determine:
a) O que precisa ser monitorado, medido e por quê;
b) Os métodos para assegurar resultados válidos;
c) Quando convém o monitoramento e medição sejam
realizados; ISO
d) Quando convém que os resultados sejam analisados, 19600
avaliados e relatados;
Convém que a organização retenha informação documentada Requisitos
como evidência dos resultados.
Convém que a organização avalie o desempenho e a eficiência
do sistema de gestão de compliance.
9.1.2. Monitoramento
Convém que um plano de monitoramento contínuo seja
estabelecido, determinando processos de monitoramento,
cronogramas, recursos e informações a serem coletadas.
Monitoramento do Sistema de Compliance normalmente
inclui:
a) Eficácia do treinamento ISO
b) eficácia dos controles 19600
c) alocação de responsabilidades para o cumprimento das
obrigações de compliance Requisitos
d) atualização das obrigações de compliance
e) resolução das falhas de compliance.
9.1.2. Monitoramento (Continuação...)
Monitoramento de desempenho de compliance normalmente
inclui:
a) não cumprimento e “quase acidentes”
b) casos em que objetivos não são alcançados
c) status da cultura de compliance.
ISO
19600
Requisitos
9.1.3. Fontes de retroalimentação sobre desempenho de
compliance
Convém que estabeleça, implemente, avalie e mantenha
procedimentos para buscar e receber retroalimentação sobre
desempenho de compliance de uma série de fontes, incluindo:
a) Empregados, por exemplo, por meio de instalações de denúncia,
linhas telefônicas de apoio, retroalimentação, caixas de sugestões.
b) Clientes, por exemplo, por meio de sistema tratamento de ISO
reclamações. 19600
c) Fornecedores.
Requisitos
d) Regulamentadores.
e) Registros de controle de processo e registros de atividade.
Convém que a retroalimentação sirva como fonte de melhoria
contínua.
9.1.4. Métodos de coleta de informações
Convém que seja tomado cuidado para selecionar a variedade de
ferramentas apropriadas para o porte, escala, natureza e
complexidade. Exemplos de coleta de informações incluem:
a) relatórios ad hoc de não cumprimento da forma como surgem ou
são identificados.
b) informações de centrais de atendimento.
c) discussões informais, workshops. ISO
d) pesquisas de percepção 19600
e) observações, entrevistas, vistoria em instalações
Requisitos
f) auditorias e análises críticas
g) consulta das partes interessadas, solicitações de treinamento e
retroalimentação.
9.1.5. Análise e classificação de informações
Convém que um sistema seja desenvolvido para a classificação,
armazenamento e recuperação das informações.
Exemplo de critérios de classificação:
a) fonte
b) departamento
c) descrição do não cumprimento
d) referência de obrigação ISO
e) indicadores 19600
f) severidade
Requisitos
g) impacto real ou potencial.
Uma vez que as informações foram coletadas, elas precisam ser

analisadas e avaliadas para identificar as causas-raiz e medidas a
serem tomadas.
9.1.6 Desenvolvimento de indicadores
Os indicadores irão variar de acordo com a maturidade da
organização e da época e do âmbito de programas novos e
revisados.
Exemplo 1 - de indicadores de atividade:

a) % de empregados treinados de forma eficaz
b) frequência dos contatos por parte dos regulamentadores ISO
c) mecanismos de retroalimentação 19600
d) tipo ação corretiva para cada não cumprimento.
Requisitos
9.1.6 Desenvolvimento de indicadores
Exemplo 2 – de indicadores reativos:

a) questões e não cumprimentos identificados, relatados por tipo,
área e frequência
b) Consequência de não cumprimento
c) tempo de relatar e ações corretivas.
ISO
Exemplo 3 – de indicadores preditivos: 19600
d) riscos de não cumprimento (potencial de perda-ganho)
Requisitos
e) tendências de não cumprimento (taxa esperada com base em
tendências passadas).
9.1.7 Relatório de compliance
Convém que o órgão regulamentador, a direção e a função de
compliance sejam informados sobre o desempenho do SGC.
Convém que relatórios internos assegure:
a) Critérios e obrigações de notificação
b) prazos para apresentação de relatórios regulares
c) exceção em vigor, facilitando ad hoc de não cumprimento
emergentes ISO
d) exatidão e integridade 19600
e) aprovação e precisão dos relatórios ao órgão regulamentador,
Requisitos
inclusive pela função de compliance.
Convém que relatórios separados sejam preparados somente para
não cumprimentos e emergentes.
9.1.8 Conteúdo dos relatórios de compliance
Podem incluir:
a) Assuntos sobre notificação a autoridade regulamentadora.
b) Alterações nas obrigações de compliance.
c) Medidas de desempenho de compliance.
d) Números e detalhes dos possíveis não cumprimentos.
e) Ações corretivas tomadas.
f) Contatos e desenvolvimentos nos relacionamentos com os ISO
regulamentadores. 19600
Resultados de auditorias.
Requisitos
9.1.9. Manutenção de registros
Registros precisos e atualizados de atividades de compliance:
mantidos para monitoramento, análise crítica e conformidade.
Inclua o registro e classificação de reclamações e litígios do

suposto descumprimento e medidas tomadas.
Registros armazenados, legíveis, identificáveis, recuperáveis e ISO

protegidos. 19600
Requisitos
9.2. Auditoria
a) Intervalos planejados
b) Prover informação sobre se o sistema de gestão está em
conformidade com critérios próprios e recomendações
normativas.
c) Implementado e mantido eficaz.
ISO
19600
Requisitos
9.2. Auditoria
Auditorias adicionais podem ser conduzidas.
a) Programa de auditoria
b) Frequência
c) Métodos
d) Responsabilidades
e) Leve em consideração importância de processos concernentes e
resultados de auditorias anteriores ISO
f) Critérios 19600
g) Métodos
Requisitos
h) Seleção de auditores
i) Objetividade
j) Imparcialidade
k) Relato para a direção
l) Informação documentada.
9.3.1. Análise crítica pela direção
Analise criticamente o sistema de gestão de compliance, a
intervalos planejados, para assegurar sua contínua adequação,
suficiência e eficácia.
Inclua considerações sobre Saídas (Recomendações)
• Situação das ações de análises de • Necessidade de mudanças

direções anteriores • Alterações em processos de
ISO
• Suficiência da política de compliance • compliance 19600
• extensão de quais objetivos de • Áreas a serem monitoradas
compliance foram atendidos • Ações corretivas
• Suficiência dos recursos •
Requisitos
lacunas ou falhas e iniciativas de
• Mudanças externas e internas melhoria contínua a longo prazo
• Informação sobre o desempenho • reconhecimento do comportamento
• NC´s e ações corretivas e prazos exemplar.
• de resolução
• Comunicação partes interessadas
• Oportunidades para melhoria. A organização retenha informação documentada da análise crítica; e que uma
cópia seja fornecida para o órgão regulamentador.
Módulo 8
10. Melhoria (ISO 37001)
10.1. Não conformidade e ação corretiva
Ao ocorrer uma não conformidade, a organização deve:
a) Reagir prontamente (medidas / lidar com consequências)
b) Avaliar necessidade de ação para eliminar as causas.
c) Implementar as ações necessárias.
d) Analisar criticamente a eficácia da ação corretiva.
e) Realizar mudanças no sistema, se necessário. ISO
37001
Ações corretivas apropriadas aos efeitos das não
conformidades. Requisitos
Reter informação documentada como evidência.
10.2. Melhoria contínua
A organização deve melhorar continuamente a adequação,
suficiência e eficácia do sistema de gestão antissuborno.
ISO
37001
Requisitos
10.1. Não conformidade, não cumprimento e ação corretiva
Convém que a organização:
a) Reaja à NC e/ou não cumprimento (medidas / gerencie as
consequências)
b) Avalie necessidade de ações para eliminar as causas.
c) Implemente ação necessária.
d) Analise criticamente a eficácia da ação corretiva. ISO
e) Faça alterações no sistema, se necessário. 19600
Ações corretivas apropriadas aos efeitos das não
conformidades e/ou não cumprimentos. Requisitos
Retenha informação documentada como evidência.
10.1. Não conformidade, não cumprimento e ação corretiva
10.1.2. Escalonamento
Convém que um processo de escalonamento transparente e
oportuno seja adotado e comunicado para assegurar que todos os
não cumprimentos sejam levantados e escalonados para a direção
pertinente, em que a função de compliance seja informada e
capacitada a suportar o escalonamento.
ISO
Convém que o processo especifique para quem, como e quando 19600
questões são para serem relatadas e os prazos para os relatos.
Requisitos
Quando requerido por lei: relatem para autoridades

regulamentadoras. Podem ser considerados a auto divulgação.
Empregados ou outros relatem suspeitas de má conduta ou
violações das obrigações de compliance.
10.2. Melhoria contínua
Convém que a organização procure melhorar continuamente a
adequação, suficiência e eficácia do sistema de gestão de
compliance.
ISO
19600
Requisitos
Módulo 9
Alguns Exemplos
Módulo 9 – Alguns exemplos
Riscos e Indicadores de Compliance
Consequências / Riscos (aplica-se • Sustentabilidade abalada
caso a caso): • Favorecimentos no âmbito de
• Impacto na imagem da organização pessoal
• Litígios entre partes (discordâncias) • Comprometimento abalado
• Processos jurídicos • Excesso de Análise de Subornos
• Atrasos em projetos • Facilitações comprometedoras
• Reclamações de partes interessadas • Legislações não cumpridas
• Dificuldade de Desenvolvimento de • Análises financeiras ineficazes
Cultura de Compliance • Denúncias não serem registradas
• Vantagens indevidas em processos • Críticas de Governança
comerciais • Despesas inesperadas
• Estratégia ineficaz • Fraudes de documentos
• Multas • Provedores sem qualificação ou
• Dificuldade de Gestão quanto a entendimento do propósito de
Controles Operacionais conduta ética
• Baixa fundamentação em Relatórios
de Compliance
Indicadores (exemplos):
Pró-ativos:
a) Eficácia de Treinamentos (atentar quanto ao critério que foi determinado)
b) Eficácia de Controles Operacionais (determinar “pesos” em relação às
ocorrências)
c) Preocupações de Compliance e Antissuborno
d) % Avaliação de desempenho (deve ter um acompanhamento)
e) Fontes de Informações de Desempenho de Compliance (Clientes,
Colaboradores, Provedores
f) Contratos Analisados por Due Dilligence
g) Eficácia Orçamentária
h) Quase Acidentes de Compliance (exemplo: Procedimentos não executados
ou desconhecidos que dependem de treinamentos; identificados em
situações rotineiras por algum colaborador. Também podem ser originadas
tipicamente de preocupações)
i) Resultado de Análises técnicas de Segurança de Informações digitais
(baseado em testes lógicos).
j) Resultado de Pesquisas de Percepção.
Indicadores (exemplos):
Reativos:
a) Consequências (perda de credibilidade, dificuldade de novos negócios, não
há convites)
b) Ocorrências recentes / tidas como antigas.
c) Cancelamentos de Acordos com terceiros
d) Denúncias
e) Ocorrências de Compliance e Antissuborno
f) Contatos de Partes Interessadas (reclamações, por exemplo)
Preditivos:
g) Riscos de não cumprimento (potencial de perda): exemplo tendências de
não cumprimento (taxa de variação de riscos graves em um determinado
período)
h) Tendência na assertividade orçamentária.
Módulo 10
Avaliação de Conhecimento
Módulo 10 – Avaliação de Conhecimento
Revise o conteúdo
Tenha consciência do entendimento e

compreensão dos temas abordados
Pratique simulados e faça a prova do curso
Quaisquer marcas, metodologias,

ilustrações ou referências apresentadas
neste treinamento foram em prol de
disseminação de informações e
conhecimento, em único benefício dos
detentores de marcas, patentes e referências
de mercado existentes
Boa sorte e até logo!
Não esqueça de deixar sua avaliação sobre

o curso, participar dos fóruns de discussão
e contribuir para o tema na empresa.
Dúvidas
Qualquer dúvida, questionamento

ou aspecto em relação ao
treinamento, fique a vontade de
entrar em contato com o
departamento de Treinamento
Institucional da empresa, estarão à
sua disposição.
Obrigado,
pessoal!

Módulo 2 - Interpr Req ISO 37001 e ISO 19600

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Módulo 2 - Interpr Req ISO 37001 e ISO 19600

Enviado por

Direitos autorais:

Formatos disponíveis

ISO 37001 – Anticorrupção

ISO 19600 Compliance

No contexto, as organizações vêm buscando a aplicação das novas técnicas de

A norma internacional dispõe de instruções para o estabelecimento,

Baseia-se também, nos princípios da boa governança, proporcionalidade,

Também conhecida como norma anticorrupção ou antissuborno, é uma norma

Ressaltar os conhecimentos necessários para compreensão e interpretação de

Estar em Compliance é cumprir as normas

A norma ISO 19600, já se tornou

Já a norma ISO 37301

Especificamente, o Suborno, o prejuízo está intrínseco a uma série de

A lei não é suficiente para resolver o problema. As organizações podem contribuir

Vale ressaltar que, em âmbito nacional, a Lei Anticorrupção e o Decreto nº

As normas ISSO 19600 (Sistema de Gestão de Compliance) e ISSO 37001 (Sistema de

Comunicação e Análise de Dados e

A conformidade com as normas não

Especifica requisitos e fornece orientações para um

Aborda sobre suborno nos setores público, privado

Requisitos aplicáveis a todos tipos de organizações.

Temos legislações nacionais e internacionais, no

Nota: Fique atento a área de atuação, revenda,

A organização deve determinar as partes interessadas que

A organização deve estabelecer, documentar, implementar,

Deve ser razoável e proporcional, levando-se em conta os

Nota: Não é possível eliminar completamente o risco de suborno, e nenhum

Escopo prontamente disponível como informação Requisitos

O sistema reflita os valores, objetivos, estratégia e riscos

Estas atividades devem ser realizadas pela Alta Direção, caso

❖ Proíba o suborno / requeira o cumprimento de leis

• Deve estar disponível como informação documentada.

• Ser comunicada nos idiomas apropriados e também para os ISO

• Disponível para partes interessadas, como apropriado. Requisitos

Nota: A delegação da tomada de decisão não exime a Alta Direção ou Órgão

Todos gestores têm papéis a desempenhar no que diz respeito ao

• Consistentes com a política • O que será feito

Integrar nos processos / avaliar a Eficácia das ações.

Nota: Reter informação documentada sobre riscos e ações.

Convém que seja estabelecido

• Consistentes com a política de • O que será feito

Reter informação documentada sobre os objetivos e sobre as ações

Programas de conscientização Atualizados.

Nota: requisitos de conscientização e treinamento para os parceiros de negócio podem

7.5.2. Criando e atualizando ISO

Aqueles de origem externa -> identificada e controlada.

7.3.2. Comportamento ISO

Aqueles de origem Identificada e

Assegurar que processos

8.4. Controles Não Financeiros

A organização deve assegurar que todo pessoal esteja ciente

A organização pode indicar um parceiro de negócio para

9.2.2. Programa de auditoria

• Situação de ações de análises de • Oportunidades para melhoria

Manter as informações documentadas. ISO

A função de compliance antissuborno deve reportar a Requisitos

Uma vez que as informações foram coletadas, elas precisam ser

Exemplo 1 - de indicadores de atividade:

Exemplo 2 – de indicadores reativos:

Inclua o registro e classificação de reclamações e litígios do

Registros armazenados, legíveis, identificáveis, recuperáveis e ISO

• Situação das ações de análises de • Necessidade de mudanças

Quando requerido por lei: relatem para autoridades

Tenha consciência do entendimento e

Pratique simulados e faça a prova do curso

Quaisquer marcas, metodologias,