O que é a ISO?
A sigla “ISO” refere-se à International Organization for Standardization, uma organização não governamental fundada em 1947, em Genebra, e hoje presente em cerca de 160 países. A sua função é a de promover a normatização de produtos e serviços, para que a qualidade dos mesmos seja permanentemente melhorada.
A ISO é uma das organizações mais confiáveis quando se trata do estabelecimento de normatizações técnicas em escala global, e a norma internacional ISO 19600:2014 – Compliance management systems – Guidelines, fornece orientação para as empresas na criação, desenvolvimento, implementação, avaliação, manutenção e melhoria contínua do sistema de Gestão da Conformidade, de maneira efetiva e ágil. Estas orientações são aplicáveis a todos os tipos de empresas, e o grau de aplicação destas orientações dependerá do tamanho, estrutura, natureza e complexidade de cada uma delas.
A origem da norma ISO 19600:2014
Em 2012, a Austrália propôs iniciar o desenvolvimento de uma norma ISO para Programas de Conformidade, baseada na norma australiana AS 8306. Esta proposta foi aceita pelos membros da ISO e uma comissão de projeto foi criada para desenvolver a Norma ISO/PC 271 – “Gerenciamento de Conformidade”. Após duas reuniões, o comitê da ISO para Projetos Internacionais publicou o draft da norma ISO 19600 – Standard for Compliance Management para votação e comentários de seus membros.
A norma ISO 19600 foi publicada em dezembro de 2014 e objetiva servir de padrão internacional para os programas empresariais de Compliance. Compliance, nos âmbitos institucional e corporativo, é o conjunto de disciplinas utilizadas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer. O termo Compliance tem origem no verbo em inglês to comply, que significa “agir de acordo com uma regra, uma instrução interna, um comando ou um pedido”.
Atualmente, atuar dentro de um processo Compliant é uma das maiores preocupações da Administração para a Gestão de Riscos. A implementação de um programa, baseado nos valores empresariais de ética e de conformidade, quando adequada aos riscos das empresas, tem auxiliado na manutenção da integridade dos processos, e a evitar ou minimizar potenciais problemas de corrupção, fraude e de má conduta, entre outros. Desta maneira, as empresas estão cada vez mais buscando validar seus programas de Compliance conforme um padrão internacionalmente reconhecido.
Qual a ideia por trás da proposta da Norma ISO 19600:2014?
A norma ISO 19600:2014 foi desenvolvida como uma diretriz para empresas, e não como um sistema de gestão certificável que possa ser exigida como requisito de clientes, como são outras normas, tais como a ABNT NBR ISO 14001 (Gestão Ambiental) ou a OHSAS 18001 (Saúde Ocupacional e Gestão da Segurança). A ISO 19600:2014 destina-se a auxiliar as empresas a melhorar e expandir a abordagem existente para gerenciamento da conformidade, e pode ser aplicada como um ‘plug-in‘ adaptável ao Sistema de Gestão da empresa, e assim gerir as questões de Compliance.
Outra razão pela qual esta norma foi elaborada como uma diretriz, ao invés de um sistema de gestão certificável, é o fato de que pequenas e médias empresas também podem ser capazes de avaliar e implementar soluções adequadas às suas operações, em vez de serem sobrecarregadas com a criação de sistemas potencialmente desfavoráveis. Essas empresas deverão adotar a Conformidade ou o Compliance e criar um sistema de gestão que atenda especificamente suas necessidades e possibilidades.
A norma ISO 19600:2014 e seu alcance.
A norma ISO 19600:2014 é baseada nos princípios da boa governança, da proporcionalidade, da transparência e da sustentabilidade, e em termos gerais, as empresas poderão adotar estar normativa como orientação independente, ou ainda combiná-la com outros padrões ou programas de gestão já existentes ou implementados pela empresa – como, por exemplo, a Norma ABNT NBR ISO 9001:2015 de Gestão da Qualidade.
Como já apresentado, a ISO 19600:2014 não tem como alvo uma área de risco específica. A proposta dessa norma é fornece uma orientação para que as empresas possam melhorar a performance de seus Programas de Compliance. Esta proposta é baseada no modelo PDCA (Plan – Do – Check – Act) para a construção de uma estrutura de controle e melhoria contínua de processos:
- PLAN: Identificar as obrigações de conformidade que forem consideradas ou mapeadas como riscos, a fim de promover uma estratégia e definir as medidas para enfrentá-los.
- DO: Definir e implementar mecanismos de acompanhamento.
- CHECK: Avaliar se os controles implementados estão em conformidade com o Programa estabelecido.
- ACT: Baseado nos resultados obtidos, o programa deverá ser continuamente aperfeiçoado, e os casos de Não-Conformidade devem ser gerenciados.
Método de quatro fases – Ciclo PDCA
Fonte: InternationalStandard, ISO 19600. ComplianceManagementSystems– Guidelines, page VI
Para ilustração, o quadro acima – referente ao processo da norma ISO 19600:2014 – aplica-se à conformidade como um todo, e está direcionada à gestão de risco das empresas, focando-se em áreas que incluem as atividades sob risco de corrupção, de fraude e de má conduta, entre outras possíveis.
Qual a essência da abordagem baseada no risco, para o Gerenciamento da Conformidade?
A gestão de Compliance vai além do mero atendimentos aos requisitos legais. Compliance também está relacionado com a satisfação das necessidades e expectativas de um amplo leque de interessados. Portanto fazer escolhas certas e definir prioridades é uma parte importante do Gerenciamento da Conformidade. A norma ISO 19600:2014 segue uma abordagem baseada no risco para o Gerenciamento da Conformidade e está alinhada com a norma ABNT NBR ISO 31000:2009 (Gestão de Riscos).
Ao analisar o contexto e o ambiente no qual uma empresa opera, as suas obrigações de conformidade poderão ser determinadas. Isto significa que a empresa deverá decidir quais exigências, necessidades e expectativas das partes interessadas esta cumprirá. Essas decisões estão baseadas em uma avaliação de risco que pergunta:
· Qual é o risco (ameaça ou oportunidade)?
· Quando eu posso ou não atender as necessidades de uma das partes interessadas, como uma obrigação de Compliance?
· No que diz respeito às exigências legais, a empresa não tem escolha: qualquer empresa socialmente responsável tem de cumprir a legislação.
No entanto, com base em uma avaliação de riscos, as prioridades poderão ser definidas, visando direcionar a maior parte dos esforços e controles internos de gestão nas obrigações que têm os maiores riscos de conformidade (expressas como a probabilidade de ocorrência e o impacto das consequências do descumprimento). Com base ainda nesta avaliação de riscos, medidas (sob a forma de controles de risco) serão concebidas e implementadas, bem como métodos e procedimentos para monitorar e avaliar a conformidade e a eficácia dos controles internos implementados. Esta abordagem baseada no risco auxiliará as empresas a concentrar seus esforços para o Gerenciamento da Conformidade.
Os potenciais benefícios na implementação da Norma ISO 19600:2014
- Abordagem simplificada e já conhecida para as empresas que possuam outros Sistemas de Gestão ISO implementados;
- Incorporação de elementos críticos de outros padrões, aceitos de forma flexível;
- Oportunidade da criação de uma nova maneira de “olhar” para o seu negócio;
- Demonstração, aos órgãos reguladores, do alinhamento da empresa com outras normas legais, governamentais e globais de Compliance;
- Orientações customizáveis para o beneficiamento e a inclusão de todos os tipos e tamanhos de empresas, com uma abordagem baseada no risco (obrigações deCompliance), para a elaboração e implementação de controles internos;
- Adaptação de uma cultura organizacional, voltada para que o cumprimento das normas aqui apresentadas se torne uma regra geral, aplicada a todos da empresa.
Conclusão
A prática do Compliance Corporativo é tema de discussão global, e que está direcionada para auxiliar as empresas no desenvolvimento de uma plataforma sólida, que proporcione integridade na relação das pessoas e dos negócios. A proposta da norma ISO 19600:2014 é contribuir, de maneira estruturada, para que as empresas possam constituir melhores processos organizacionais para a integridade nas decisões de importância corporativa e pessoal. O desenvolvimento e a incorporação deste programa de prevenção de riscos, e uma adequação cultural de todos, voltado aos quesitos de ética, auxiliarão a empresa a manter a confiabilidade em seu programa local ou global de Compliance.
É importante ressaltar também, que cada empresa poderá decidir, de forma independente, até que ponto a implementação de um programa desse tipo pode ser considerada adequada – em relação aos custos e benefícios envolvidos no processo – e quanto esta implementação de um padrão internacional poderá colaborar para a comparabilidade entre os sistemas de conformidade em diferentes segmentos ou regiões. Além disso, a diretriz traz consigo a garantia de inexistência de conflitos com qualquer legislação nacional, pois a mesma determina que esta deva ser cumprida para se garantir a conformidade dos processos.
No entanto, ainda não está claro como as empresas deverão comprovar sua implementação para terceiros. Atualmente, não existe nenhuma intenção da ISO de estabelecer uma certificação conforme a norma ISO 19600:2014, uma vez que não existem padrões mínimos previstos. Este é o lado negativo de um guia flexível que tenta cobrir um amplo espectro.