Saiba mais sobre o novo ISO 37301 – Sistemas de Gestão de Compliance

​A entidade suíça International Organization for Standardization (ISO) lançou a primeira edição da norma ISO 37301:2021 – Sistemas de Gestão de Compliance, que define parâmetros para estabelecer, desenvolver, implementar, avaliar, manter e aperfeiçoar um sistema de gestão de compliance efetivo e responsivo no âmbito de uma organização.

A ISO 37301 substituiu o padrão de diretrizes da ISO 19600:2014, e agora inclui requisitos e instruções que tornam sua implementação passível de auditoria externa e certificação. Uma versão em português está disponível para aquisição no site da ABNT.

Por ser uma norma certificável, a nova norma ISO trata de modo mais objetivo de diretrizes de gestão de compliance e práticas recomendadas, abrangendo os seguintes temas:

• A contextualização organizacional, que orientará a determinação do escopo do sistema de gestão de compliance;

• O compromisso da liderança da organização, incluindo suas responsabilidades e papeis na disseminação de uma cultura de compliance;
• O planejamento, de modo a definir ações para endereçar riscos e oportunidades;
• O suporte, incluindo competências, processos de treinamento, comunicação e controle de documentos relacionados ao programa de compliance;
• A operação, abrangendo a criação de controles e procedimentos e o processo de investigação interna;
• A avaliação de performance e mecanismos de auditoria interna;
• A melhoria contínua e mecanismos de ação corretiva frente a não conformidades.

Destaque-se, ainda, que os requisitos para implementação da ISO 37301 foram elaborados com o propósito de se adaptarem a perfis diferentes, o que torna sua adoção viável para organizações de qualquer natureza, inclusive sem fins lucrativos, independentemente do tamanho, ramo de negócio e da atuação no setor público ou privado.

A adaptação à norma, contudo, deve variar consideravelmente de acordo com o porte da organização, a complexidade de suas operações e a maturidade do seu sistema de gestão de compliance, caso pré-existente.

Possibilidade de implementação multidisciplinar e maior abrangência 

Muitas empresas no Brasil deram os primeiros passos para implementar programas de compliance após a aprovação da Lei nº 12.846/2013 (Lei Anticorrupção) e de sua regulamentação através do Decreto nº 8.420/2015.

No ano seguinte a tal decreto, que regulamentou os programas de integridade no Brasil, surgiu o padrão ISO 37001:2016 – Sistema de Gestão Antissuborno (ISO 37001). Além de ser um padrão internacionalmente reconhecido, essa norma ganhou ainda mais relevância no Brasil após empresas terem se comprometido a implementá-la no âmbito de acordos de leniência, celebrados com autoridades públicas do país.

Entretanto, em termos de abrangência, a nova ISO 37301 é consideravelmente mais ampla do que o padrão antissuborno da ISO 37001. Como a mais recente é uma norma voltada a sistemas de gestão, é possível adotá-la em conjunto com outras normas, como a ISO 9001:2015 – Sistema de Gestão da Qualidade; a ISO 27001:2020 – Sistema de Gestão da Segurança da Informação; e a ISO 14001:2015 – Sistema de Gestão Ambiental.

A possibilidade de implementação integrada com outras normas demonstra, inclusive, um fator a reforçar a tendência mundial de programas de compliance multidisciplinares, que não se limitam ao escopo anticorrupção que impulsionou a popularização e profissionalização da função de compliance no Brasil.

A depender dos riscos de cada empresa, esses programas podem incluir a observância de normas e boas práticas relacionadas a temas como anticorrupção e integridade corporativa, proteção de dados pessoais e práticas ESG (Environmental, Social and Governance), entre outras áreas de riscos corporativos.

A certificação de programas de compliance e aderência a boas práticas de mercado 

Pela legislação anticorrupção brasileira, não há obrigatoriedade de obtenção de certificados ou selos de qualidade oferecidos por organizações externas para comprovação da existência ou eficácia de um programa de compliance. Em alguns mercados e casos específicos, no entanto, o investimento para adequação dos sistemas de compliance a um padrão internacional e uma certificação externa podem facilitar negócios e representar uma vantagem competitiva.

Há diversas organizações nacionais e estrangeiras que se propõem a criar orientações, métodos e boas práticas de implementação de governança e compliance, a partir de diferentes perspectivas e finalidades. Em última análise, todas essas iniciativas são úteis para as empresas e acabam se tornando complementares entre si.

Entre tais fontes de boas práticas, algumas das mais utilizadas no Brasil são o Código Brasileiro de Governança Corporativa, publicado pelo Instituto Brasileiro de Governança Corporativa (IBGC), os manuais publicados pela Controladoria Geral da União (CGU) e a metodologia de gerenciamento de riscos corporativos desenvolvida pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO).

A própria CGU promove, desde 2010, em parceria com o Instituto Ethos de Empresas e Responsabilidade Social, o projeto Empresa Pró-Ética, iniciativa que busca estimular a adoção voluntária de programas de compliance por parte de empresas e promover uma cultura de integridade. Embora não se trate de selo de qualidade ou certificação, a iniciativa é amplamente reconhecida como uma boa prática, inclusive internacionalmente.

Também em um esforço de reconhecimento e estímulo a práticas compatíveis com o desenvolvimento sustentável e com uma boa governança, a B3 atualmente oferece às companhias abertas a possibilidade de participação no Índice de Sustentabilidade Empresarial (ISE B3), que é baseado em uma gama de aspectos relacionados a temas de eficiência econômica, equilíbrio ambiental, justiça social e governança corporativa. Segundo informações da própria B3, desde sua criação em 2005, a carteira do ISE B3 apresenta rentabilidade superior ao Ibovespa e menor volatilidade.

Nota-se, assim, que há muitas diretrizes e métodos facultativos atualmente disponíveis às empresas que buscam adequação a boas práticas de mercado ou um reconhecimento para seus programas de compliance, às quais o padrão ISO 37301 se soma.

Opção pelo novo padrão ISO e efeitos jurídicos 

As empresas que optarem por adotar o padrão ISO 37301 devem se planejar para um período de transição e para uma possível necessidade de adaptação de seus sistemas de gestão de compliance. Em um segundo momento, as estruturas de gestão e evidências que a empresa gerar poderão ser submetidas à auditoria por empresas especializadas, para fins de certificação.

Apesar das normas e certificações ISO serem bastante conhecidas, nacional e internacionalmente, um selo ISO 37301 não é vinculante para a autoridade administrativa ou o Judiciário e não substitui a apresentação de elementos comprobatórios de compliance que sejam relevantes para a defesa da empresa em um caso concreto.

No Brasil, a legislação não adotou as chamadas “defesas de compliance”, que em alguns países podem proteger as empresas de penalidades mediante comprovação de que adotam programas internos adequados. O país adota somente um sistema que autoriza a redução de sanções e, isoladamente considerado, um selo ISO 37301 não seria suficiente para garanti-la. Apesar dessas ressalvas, é provável que os investimentos e as rotinas estabelecidas para a manutenção de um compliance padrão ISO facilitem muito o trabalho de obtenção de documentação para fins de defesa jurídica.

Em um contexto processual sancionatório ou no âmbito de uma negociação de acordo de leniência, os parâmetros da lei e da regulamentação oficial sempre guiarão a análise de quaisquer argumentos de compliance, inclusive aqueles baseados em boas práticas ou elementos facultativos, à luz das circunstâncias do caso concreto.

Portanto, do ponto de vista jurídico, as empresas que adotam ou não padrões ISO de compliance devem ter iguais oportunidades de apresentar as evidências que melhor comprovem a existência e efetividade de seus programas de compliance, sem distinções.

Para mais informações sobre o tema, conheça a prática de Compliance e Ética Corporativa do Mattos Filho.