Há muitos guias sobre o desenvolvimento de um Sistema de Gestão de Compliance eficaz, que as organizações podem utilizar para implementar seu próprio SGC. A principal referência atual é a edição de 2014 da norma internacional ISO 19600. Em vez de prescrever requisitos, a norma fornece orientações para o desenvolvimento de um SGC baseado em riscos e um compromisso com a melhoria contínua.
More...
Definições Básicas
Na ISO 19600, compliance é definido como atendimento a todas as obrigações de compliance da organização.
Por sua vez, o termo obrigação de compliance se refere tanto a um requisito que a organização TEM QUE cumprir (exigência legal, por exemplo), como também a um requisito que a organização DECIDIU cumprir e que, portanto, tornou-se uma obrigação.
O risco de compliance, segundo a norma, pode ser caracterizado pela probabilidade de ocorrência e pelas consequências do não cumprimento com as obrigações de compliance da organização.
A ISO 19600 enfatiza que "a extensão e o nível de detalhes da avaliação do risco de compliance dependem da situação de risco, do contexto, do porte e dos objetivos da organização, e podem variar para subáreas específicas (por exemplo, meio ambiente, finanças, responsabilidade social)".
E ressalta que "a abordagem baseada em riscos para a gestão de compliance não significa que, para situações de baixo risco de compliance, o não cumprimento seja aceito pela organização. Ela auxilia as organizações a focarem a atenção e os recursos primários nos riscos mais elevados como uma prioridade e, finalmente, irá cobrir todos os riscos de compliance. Todos os riscos/situações de compliance identificados estão sujeitos a monitoramento, correção e ação corretiva".
Além disso, a ISO 19600 recomenda que se utilize a norma ISO 31000 de Gestão de Riscos para orientações detalhadas sobre o processo de avaliação de riscos.
A ISO 19600:2014 foi criada a partir da norma australiana AS 3806:2006 e se tornou a nova referência mundial para a gestão de compliance.
Pontos de Destaque
Um compromisso ativo com o compliance pode ser demonstrado por meio do desenvolvimento e implementação de um Sistema de Gestão de Compliance eficaz, o qual irá auxiliar qualquer tipo de organização, pública ou privada, a:
- desenvolver e promover uma cultura de compliance, que reconheça a importância do compliance para a organização;
- identificar e cumprir as obrigações de compliance específicas da organização;
- compreender os riscos de compliance da organização, incluindo as consequências do não cumprimento e suas respectivas probabilidades;
- desenvolver, implementar e monitorar os controles internos para lidar com os riscos de compliance da organização;
- avaliar e melhorar o desempenho de compliance da organização.
É importante notar que não existe um único Sistema de Gestão de Compliance que seja adequado para todas as organizações. Elas precisam desenvolver e gerenciar um SGC que melhor reflita suas necessidades. No entanto, alguns dos elementos comuns de um SGC eficaz incluem:
- O exemplo vem de cima - compromisso forte e explícito da alta direção da organização em estabelecer e manter uma cultura de compliance;
- A política de compliance - declaração do escopo do Sistema de Gestão de Compliance e seus objetivos, juntamente com as responsabilidades e a responsabilização, em todos os níveis da organização, pela prestação de contas do compliance à alta direção;
- Uma clara e específica alocação de responsabilidades para assegurar o compliance - clareza sobre as expectativas dos indivíduos dentro da organização em relação às suas respectivas obrigações de compliance;
- Um mecanismo para identificar e compreender as obrigações de compliance - processos adequados para monitorar as obrigações de compliance da organização, e para responder rápida e eficazmente ao atendimento a novas obrigações de compliance;
- Comunicação e formação - funcionários, contratados e outros representantes da organização devem estar cientes de suas obrigações de compliance, e possuir o necessário conhecimento e habilidades para cumprirem tais obrigações;
- Um processo claro de avaliação de riscos de compliance - avaliação periódica e específica das consequências e probabilidades de não cumprir as obrigações de compliance, a fim de permitir a compreensão da exposição da organização aos riscos de compliance e de priorizar os recursos para melhor mitigar essa exposição;
- Ações para tratar riscos de compliance - controles concebidos e implementados, a fim de minimizar os riscos de não cumprimento, particularmente em áreas que foram identificadas como de alto risco, com base na avaliação dos riscos de compliance da organização.
Fluxograma de um Sistema de Gestão de Compliance
A figura abaixo ilustra como a ISO 19600 é consistente com outros sistemas de gestão e se baseia no princípio PDCA (Plan-Do-Check-Act) de melhoria contínua:
Clique na figura para uma melhor visualização.
Manual e Videoaula
Este Manual da Coleção Risk Tecnologia apresenta na íntegra a norma internacional ISO 19600 - Sistemas de Gestão de Compliance - Diretrizes, e vem acompanhado por uma VIDEOAULA EXCLUSIVA intitulada “A ISO 19600:2014 versus Programas de Compliance e Combate à Corrupção”.
PS: este tema também é parte integrante do nosso Curso a Distância de Atualização Profissional em Gestão de Riscos, Controles Internos, Compliance, QSMS e Normas ISO.
