ABNT NBR ISO 37301 2021 - Sistemas de Gestão de Compliance - Requisitos e Orientações

NORMA BRASILEIRA ABNT NBR ISO 37301 Primeira edição 03062021 Sistemas de gestão de compliance Requisitos com orientações para uso Compliance management systems Requirements with guidance for use ICS 0310001 0310002 0310070 ISBN 9788507085140 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS Número de referência ABNT NBR ISO 373012021 47 páginas ISO 2021 ABNT 2021 ABNT NBR ISO 373012021 ISO 2021 Todos os direitos reservados A menos que especificado de outro modo nenhuma parte desta publicação pode ser reproduzida ou utilizada por qualquer meio eletrônico ou mecânico incluindo fotocópia e microfilme sem permissão por escrito da ABNT único representante da ISO no território brasileiro ABNT 2021 Todos os direitos reservados A menos que especificado de outro modo nenhuma parte desta publicação pode ser reproduzida ou utilizada por qualquer meio eletrônico ou mecânico incluindo fotocópia e microfilme sem permissão por escrito da ABNT ABNT Av Treze de Maio 13 28º andar 20031901 Rio de Janeiro RJ Tel 55 21 39742300 Fax 55 21 39742346 abntabntorgbr wwwabntorgbr ii ISO 2021 ABNT 2021 Todos os direitos reservados ABNT NBR ISO 373012021 Sumário Página Prefácio Nacional vi Introdução vii 1 Escopo 1 2 Referência normativa 1 3 Termos e definições 1 4 Contexto da organização 6 41 Entendendo a organização e seu contexto 6 42 Entendendo as necessidades e as expectativas das partes interessadas 6 43 Determinando o escopo do sistema de gestão de compliance 7 44 Sistema de gestão de compliance 7 45 Obrigações de compliance 7 46 Avaliação de riscos de compliance 7 5 Liderança 8 51 Liderança e comprometimento 8 511 Órgão Diretivo e Alta Direção 8 512 Cultura de compliance 8 513 Governança de compliance 9 52 Política de compliance 9 53 Papéis responsabilidade e autoridades 10 531 Órgão Diretivo e Alta Direção 10 532 Função de compliance 10 533 Direção 11 534 Pessoal 12 6 Planejamento 12 61 Ações para abordar riscos e oportunidades 12 62 Objetivos de compliance e planejamento para alcançálos 13 63 Planejamento de mudanças 13 7 Apoio 13 71 Recursos 13 72 Competência 14 721 Generalidades 14 722 Processo de contratação 14 723 Treinamento 14 73 Conscientização 15 74 Comunicação 15 75 Informação documentada 16 751 Generalidades 16 752 Criando e atualizando a informação documentada 16 753 Controle da informação documentada 16 8 Operação 17 81 Planejamento e controle operacional 17 ISO 2021 ABNT 2021 Todos os direitos reservados iii 82 Estabelecendo controle e procedimentos 17 83 Levantamento de preocupações 18 84 Processo de investigação 18 9 Avaliação do desempenho 18 91 Monitoramento medição análise e avaliação 18 911 Generalidades 18 912 Fontes de retroalimentação sobre o desempenho de compliance 19 913 Desenvolvimento de indicadores 19 914 Relatório de compliance 19 915 Manutenção de registros 19 92 Auditoria interna 20 921 Generalidades 20 922 Programa de auditoria interna 20 93 Análise crítica pela direção 20 931 Generalidades 20 932 Entradas para análise crítica pela direção 20 933 Resultados da análise crítica pela direção 21 10 Melhoria 21 101 Melhoria contínua 21 102 Não conformidade e ação corretiva 21 Anexo A informativo Orientação para o uso deste documento 23 A1 Histórico e escopo 23 A11 Generalidades 23 A12 Escopo 23 A2 Referências normativas 23 A3 Termos e definições 24 A4 Contexto da organização 24 A41 Entendendo a organização e seu contexto 24 A42 Entendendo as necessidades e as expectativas das partes interessadas 24 A43 Determinando o escopo do sistema de gestão de compliance 25 A44 Sistema de gestão de compliance 25 A45 Obrigações de compliance 26 A46 Avaliação de riscos de compliance 27 A5 Liderança 29 A51 Liderança e comprometimento 29 A511 Órgão Diretivo e Alta Direção 29 A512 Cultura de compliance 30 A513 Governança de compliance 31 A52 Política de compliance 31 A53 Papéis responsabilidades e autoridades 32 A531 Órgão Diretivo e Alta Direção 32 A532 Função de compliance 33 A533 Direção 34 ISO 2021 ABNT 2021 Todos os direitos reservados iv A534 Pessoal 34 A6 Planejamento 35 A61 Ações para abordar riscos e oportunidades 35 A62 Objetivos de compliance e planejamento para alcançálos 35 A7 Apoio 35 A71 Recursos 35 A72 Competência 35 A721 Generalidades 35 A722 Processo de contratação 36 A723 Treinamento 36 A73 Conscientização 37 A74 Comunicação 37 A75 Informação documentada 37 A751 Generalidades 37 A752 Criando e atualizando informação documentada 38 A753 Controle da informação documentada 38 A8 Operação 38 A81 Planejamento e controle operacional 38 A82 Estabelecendo controles e procedimentos 39 A83 Levantando preocupações 40 A84 Processo de investigação 40 A9 Avaliação de desenvolvimento 41 A91 Monitoramento medição análise e avaliação 41 A911 Generalidades 41 A912 Fontes de retroalimentação sobre o desempenho do compliance 42 A913 Desenvolvendo os indicadores 43 A914 Relatório de compliance 44 A915 Manutenção de registros 44 A92 Auditoria interna 45 A93 Análise crítica pela direção 45 A10 Melhoria 45 A101 Melhoria contínua 45 A102 Não conformidade e ação corretiva 46 Bibliografia 47 Figura Figura 1 Elementos de um sistema de gestão de compliance viii ISO 2021 ABNT 2021 Todos os direitos reservados v Prefácio Nacional A Associação Brasileira de Normas Técnicas ABNT é o Foro Nacional de Normalização As Normas Brasileiras cujo conteúdo é de responsabilidade dos Comitês Brasileiros ABNTCB dos Organismos de Normalização Setorial ABNTONS e das Comissões de Estudo Especiais ABNTCEE são elaboradas por Comissões de Estudo CE formadas pelas partes interessadas no tema objeto da normalização Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da ABNT Diretiva 3 A ABNT chama a atenção para que apesar de ter sido solicitada manifestação sobre eventuais direitos de patentes durante a Consulta Nacional estes podem ocorrer e devem ser comunicados à ABNT a qualquer momento Lei n 9279 de 14 de maio de 1996 Os Documentos Técnicos ABNT assim como as Normas Internacionais ISO e IEC são voluntários e não incluem requisitos contratuais legais ou estatutários Os Documentos Técnicos ABNT não substituem Leis Decretos ou Regulamentos aos quais os usuários devem atender tendo precedência sobre qualquer Documento Técnico ABNT Ressaltase que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos Técnicos Nestes casos os órgãos responsáveis pelos Regulamentos Técnicos podem determinar as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT A ABNT NBR ISO 37301 foi elaborada pela Comissão de Estudo Especial de Governança de Organizações ABNTCEE309 O Projeto circulou em Consulta Nacional conforme Edital n 04 de 30042021 a 01062021 A ABNT NBR ISO 37301 é uma adoção idêntica em conteúdo técnico estrutura e redação à ISO 373012021 que foi elaborada pelo Technical Committee Governance of organizations ISOTC 309 O Escopo em inglês da ABNT NBR ISO 37301 é o seguinte Scope This document specifies requirements and provides guidelines for establishing developing implementing evaluating maintaining and improving an effective compliance management system within an organization This document is applicable to all types of organizations regardless of the type size and nature of the activity as well as whether the organization is from the public private or nonprofit sector All requirements specified in this document that refer to a governing body apply to top management in cases where an organization does not have a governing body as a separate function ISO 2021 ABNT 2021 Todos os direitos reservados vi Introdução Organizações que almejam ser bemsucedidas a longo prazo precisam estabelecer e manter uma cultura de compliance considerando as necessidades e expectativas das partes interessadas O compliance não é portanto apenas a base mas também uma oportunidade para uma organização bemsucedida e sustentável O compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações O compliance se torna sustentável ao ser incorporado na cultura da organização e no comportamento e na atitude das pessoas que trabalham para ela Enquanto mantém sua independência é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre seu comprometimento em cumprir leis pertinentes requisitos regulamentares códigos setoriais da indústria e normas organizacionais assim como normas de boa governança melhores práticas geralmente aceitas ética e expectativas da comunidade A abordagem de compliance de uma organização é moldada pela liderança por meio da aplicação de valores centrais e padrões geralmente aceitos de boa governança de ética e da comunidade Incorporar o compliance no comportamento das pessoas que trabalham para uma organização depende acima de tudo da liderança em todos os níveis e dos valores claros de uma organização assim como do reconhecimento e implementação de medidas para promover o comportamento de compliance Se este não for o caso em todos os níveis de uma organização há um risco de não compliance Em um número de jurisdições os tribunais têm considerado o comprometimento da organização com o compliance por meio do seu sistema de gestão de compliance ao determinar a penalidade adequada a ser imposta por violação de leis pertinentes Portanto órgãos regulatórios e judiciais podem também se beneficiar deste documento como uma referência As organizações estão cada vez mais convencidas de que ao aplicar valores vinculativos e uma gestão de compliance apropriada elas podem salvaguardar a sua integridade e evitar ou minimizar o não compliance das obrigações de compliance da organização A integridade e o compliance eficaz são portanto elementos chave de uma gestão boa e diligente O compliance também contribui para o comportamento socialmente responsável das organizações Um dos objetivos deste documento é auxiliar as organizações a desenvolverem e disseminarem uma cultura positiva de compliance considerando que convém que uma gestão de riscos relacionados ao compliance sólida e eficaz seja considerada como uma oportunidade a ser perseguida e aproveitada devido aos diversos benefícios que ela provê para a organização como melhorar as oportunidades de negócio e sua sustentabilidade proteger e melhorar a credibilidade e a reputação da organização considerar as expectativas das partes interessadas demonstrar o comprometimento de uma organização para gerenciar eficaz e eficientemente seus riscos de compliance aumentar a confiança de terceiras partes na capacidade da organização de alcançar sucesso sustentado minimizar o risco da ocorrência de uma violação aos custos associados e dano reputacional ISO 2021 ABNT 2021 Todos os direitos reservados vii ABNT NBR ISO 373012021 Este documento especifica requisitos assim como também provê orientação sobre os sistemas de gestão de compliance e práticas recomendadas Tanto os requisitos como as orientações deste documento são destinados a serem adaptados e a sua implementação pode variar dependendo do tamanho e nível de maturidade do sistema de gestão de compliance da organização e do contexto natureza e complexidade dos objetivos e atividades da organização Este documento é adequado para melhorar os requisitos relacionados ao compliance em outros sistemas de gestão e para auxiliar uma organização na melhoria da gestão global de todas as suas obrigações de compliance A Figura 1 provê uma visão geral dos elementos comuns de um sistema de gestão de compliance OBJETIVOS INTEGRIDADE CULTURA CONFORMIDADE REPUTAÇÃO VALORES ÉTICA PRINCÍPIOS INTEGRIDADE BOA GOVERNANÇA PROPORCIONALIDADE TRANSPARÊNCIA RESPONSABILIZAÇÃO SUSTENTABILIDADE AGIR PLANEJAR LIDERANÇA GOVERNANÇA CULTURA CHECAR FAZER Comprometimento em todos os níveis Determinando o escopo Política de compliance Papéis e responsabilidades Obrigações e riscos Gerenciando não compliance Melhoria contínua Auditoria interna Análise crítica pela direção Monitoramento e medição Levantamento de preocupações Processo de investigação Apoio Competência e conscientização Comunicação e treinamento Operação Controles e procedimentos Documentação ORGANIZAÇÃO SEU CONTEXTO LEGAL SOCIAL CULTURAL DIGITALIZAÇÃO FINANCEIRO ESTRUTURA MEIO AMBIENTE PARTES INTERESSADAS Figura 1 Elementos de um sistema de gestão de compliance viii ISO 2021 ABNT 2021 Todos os direitos reservados ABNT NBR ISO 373012021 Neste documento as seguintes formas verbais são empregadas deve indica um requisito convém que indica uma recomendação pode maycan indica permissãopossibilidade ou capacidade NOTA BRASILEIRA Em inglês existem dois verbos canmay para expressar a forma verbal podeem português Informação indicada como NOTA serve como orientação para entendimento ou esclarecimento do requisito associado O Anexo A provê orientações para o uso deste documento ISO 2021 ABNT 2021 Todos os direitos reservados ix Sistemas de gestão de compliance Requisitos com orientações para uso 1 Escopo Este documento especifica os requisitos e fornece diretrizes para estabelecer desenvolver implementar avaliar manter e melhorar um sistema de gestão de compliance eficaz dentro de uma organização Este documento é aplicável a todos os tipos de organizações independentemente do tipo porte e natureza da atividade assim como se a organização é do setor público privado ou sem fins lucrativos Todos os requisitos especificados neste documento que se referem a um Órgão Diretivo são aplicáveis à Alta Direção nos casos em que uma organização não tenha um Órgão Diretivo como uma função separada 2 Referência normativa Não há referência normativa para este documento 3 Termos e definições Para os efeitos deste documento aplicamse os seguintes termos e definições A ISO e a IEC mantêm bases de dados terminológicos para uso em normalização nos seguintes endereços ISO Online browsing platform disponível em httpswwwisoorgobp IEC Electropedia disponível em httpwwwelectropediaorg 31 organização pessoa ou grupo de pessoas que têm suas próprias funções com responsabilidades autoridades e relações para alcançar seus objetivos 36 Nota 1 de entrada O conceito de organização inclui mas não é limitado a empreendedor individual companhia corporação firma empresa autoridade parceria instituição de caridade ou parte ou combinação destes seja incorporada ou não pública ou privada Nota 2 de entrada Se a organização for parte de uma entidade maior o termo organização se refere somente à parte da entidade maior que estiver dentro do escopo do sistema de gestão de compliance 32 parte interessada termo preferido stakeholder termo admitido pessoa ou organização 31 que pode afetar ser afetada ou se perceber afetada por uma decisão ou atividade ISO 2021 ABNT 2021 Todos os direitos reservados1 ABNT NBR ISO 373012021 33 Alta Direção pessoa ou grupo de pessoas que dirige e controla uma organização 31 no nível mais alto Nota 1 de entrada A Alta Direção tem o poder de delegar autoridade e prover recursos na organização Nota 2 de entrada Se o escopo do sistema de gestão 34 cobrir apenas parte de uma organização então Alta Direção se refere àqueles que dirigem e controlam aquela parte da organização Nota 3 de entrada Para os propósitos deste documento o termo Alta Direção se refere ao nível mais alto da gestão executiva 34 sistema de gestão conjunto de elementos interrelacionados ou interativos de uma organização 31 para estabelecer políticas 35 objetivos 36 e processos 38 para alcançar esses objetivos Nota 1 de entrada Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas Nota 2 de entrada Os elementos do sistema de gestão incluem a estrutura da organização papéis e responsabilidades planejamento e operação 35 política intenções e direção de uma organização 31 como formalmente expressos pela sua Alta Direção 33 Nota 1 de entrada Uma política pode também ser formalmente expressa por um Órgão Diretivo 321 da organização 36 objetivo resultado a ser alcançado Nota 1 de entrada Um objetivo pode ser estratégico tático ou operacional Nota 2 de entrada Os objetivos podem se relacionar a diferentes disciplinas como finanças saúde e segurança e meio ambiente Eles podem ser por exemplo para toda a organização ou específicos para um projeto produto serviço ou processo 38 Nota 3 de entrada Um objetivo pode ser expresso de outras formas por exemplo como um resultado pretendido um propósito um critério operacional como um objetivo de compliance 326 ou pelo uso de outras palavras com significado similar por exemplo finalidade meta ou alvo Nota 4 de entrada No contexto de sistemas de gestão 34 de compliance objetivos de compliance são estabelecidos pela organização 31 coerentemente com a política 35 de compliance para alcançar resultados específicos 37 risco efeito da incerteza nos objetivos 36 Nota 1 de entrada Um efeito é um desvio do esperado positivo ou negativo Nota 2 de entrada Incerteza é o estado ainda que parcial de deficiência de informação relacionada ao entendimento ou conhecimento de um evento sua consequência ou probabilidade 2 ISO 2021 ABNT 2021 Todos os direitos reservados ABNT NBR ISO 373012021 ABNT NBR ISO 373012021 Nota 3 de entrada O risco é muitas vezes caracterizado pela referência a eventos como definido no ABNT ISO Guia 73 potenciais e consequências como definido no ABNT ISO Guia 73 ou uma combinação destes Nota 4 de entrada O risco é muitas vezes expresso em termos da combinação de consequências de um evento incluindo mudanças nas circunstâncias e a probabilidade associada como definido no ABNT ISO Guia 73 de ocorrência 38 processo conjunto de atividades interrelacionadas ou interativas que usam ou transformam entradas para entregar um resultado Nota 1 de entrada Se o resultado de um processo é chamado de saída o produto ou o serviço depende do contexto da referência 39 competência capacidade de aplicar conhecimento e habilidades para alcançar resultados pretendidos 310 informação documentada informação que se requer que seja controlada e mantida por uma organização 31 e o meio no qual ela está contida Nota 1 de entrada Informação documentada pode estar em qualquer formato e meio e pode ser proveniente de qualquer fonte Nota 2 de entrada Informação documentada pode se referir a o sistema de gestão 34 incluindo processos 38 relacionados a informação criada para a organização operar documentação a evidência de resultados alcançados registros 311 desempenho resultado mensurável Nota 1 de entrada Desempenho pode se relacionar tanto a constatações quantitativas quanto a qualitativas Nota 2 de entrada Desempenho pode se relacionar à gestão de atividades processos 38 produtos serviços sistemas ou organizações 31 312 melhoria contínua atividade recorrente para melhorar o desempenho 311 313 eficácia extensão na qual atividades planejadas são realizadas e resultados planejados são alcançados ISO 2021 ABNT 2021 Todos os direitos reservados 3 ABNT NBR ISO 373012021 314 requisito necessidade ou expectativa que é declarada geralmente obrigatória ou implícita Nota 1 de entrada Geralmente implícita significa que é costume ou prática comum para a organização 31 e partes interessadas 32 que a necessidade ou expectativa sob consideração esteja implícita Nota 2 de entrada Um requisito especificado é aquele que é declarado por exemplo em uma informação documentada 310 315 conformidade atendimento de um requisito 314 316 não conformidade não atendimento de um requisito 314 Nota 1 de entrada Uma não conformidade não é necessariamente um não compliance 327 317 ação corretiva ação para eliminar as causas de uma não conformidade 316 e para prevenir recorrência 318 auditoria processo 38 sistemático e independente para obter evidência e avaliar objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos Nota 1 de entrada Uma auditoria pode ser uma auditoria interna primeira parte ou uma auditoria externa segunda parte ou terceira parte 330 e pode ser uma auditoria combinada combinando duas ou mais disciplinas Nota 2 de entrada Uma auditoria interna é conduzida pela própria organização 31 ou por uma parte externa em seu nome Nota 3 de entrada Evidência de auditoria e critérios de auditoria estão definidos na ABNT NBR ISO 19011 Nota 4 de entrada Independência pode ser demonstrada pela liberdade de responsabilidade pela atividade que está sendo auditada ou pela liberdade de desvio e conflito de interesse 319 medição processo 38 para determinar um valor 320 monitoramento determinação do estado de um sistema um processo 38 ou uma atividade Nota 1 de entrada Para determinar a situação pode haver a necessidade de verificar supervisionar ou observar criticamente ISO 2021 ABNT 2021 Todos os direitos reservados 4 ABNT NBR ISO 373012021 321 Órgão Diretivo pessoa ou grupo de pessoas que tem a responsabilidade e autoridade finais pelas atividades governança e políticas de uma organização 31 e ao qual a Alta Direção 33 se reporta e perante o qual a Alta Direção é responsabilizada Nota 1 de entrada Nem todas as organizações particularmente as organizações pequenas têm um Órgão Diretivo separado da Alta Direção Nota 2 de entrada Um Órgão Diretivo pode incluir porém não está limitado a o conselho de administração os comitês do conselho um conselho de supervisão ou curadores NOTA BRASILEIRA O conselho de supervisão é também conhecido como conselho fiscal 322 pessoal indivíduos em uma relação reconhecida como uma relação de trabalho com base em uma prática ou lei nacional ou em qualquer relação contratual na qual a sua atividade dependa da organização 31 323 função de compliance pessoa ou grupo de pessoas com responsabilidade e autoridade para a operação do sistema de gestão 34 de compliance 326 Nota 1 de entrada Preferencialmente será atribuída a um indivíduo a supervisão global do sistema de gestão de compliance 324 riscos de compliance probabilidade da ocorrência e as consequências de não compliance 327 com as obrigações de compliance 325 da organização 31 325 obrigações de compliance requisitos 314 que uma organização 31 mandatoriamente tem que cumprir como também os que uma organização voluntariamente escolhe cumprir 326 compliance atendimento a todas as obrigações de compliance 325 da organização 31 327 não compliance não atendimento de obrigações de compliance 325 328 cultura de compliance valores ética crenças e conduta 329 que existem por toda a organização 31 e interagem com as estruturas e os sistemas de controle da organização para produzir normas comportamentais que contribuem com o compliance 326 ISO 2021 ABNT 2021 Todos os direitos reservados 5 329 conduta comportamentos e práticas que impactam os resultados para os clientes pessoal fornecedores mercados e comunidade 330 terceira parte pessoa ou órgão que é independente da organização 31 Nota 1 de entrada Todos os parceiros de negócio são terceiras partes mas nem todas as terceiras partes são parceiros de negócio 331 procedimento forma especificada de executar uma atividade ou um processo 38 FONTE ABNT NBR ISO 90002015 345 4 Contexto da organização 41 Entendendo a organização e seu contexto A organização deve determinar as questões internas e externas que são pertinentes para o seu propósito e que afetam sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de compliance Para este propósito a organização deve considerar uma gama variada de questões incluindo mas não limitadas a o modelo de negócio incluindo a estratégia a natureza o porte e a escala da complexidade e sustentabilidade das operações e atividades da organização a natureza e o escopo dos negócios na relação com terceiras partes o contexto regulatório e legal a situação econômica os contextos ambiental cultural e social as estruturas internas as políticas os processos os procedimentos e os recursos incluindo tecnologia a sua cultura de compliance 42 Entendendo as necessidades e as expectativas das partes interessadas A organização deve determinar as partes interessadas que são pertinentes para o sistema de gestão de compliance os requisitos pertinentes destas partes interessadas quais destes requisitos serão abordados pelo sistema de gestão de compliance ISO 2021 ABNT 2021 Todos os direitos reservados 6 43 Determinando o escopo do sistema de gestão de compliance A organização deve determinar os limites e a aplicabilidade do sistema de gestão de compliance para estabelecer o seu escopo NOTA O escopo do sistema de gestão de compliance se destina a esclarecer os principais riscos de compliance que a organização está enfrentando e os limites geográficos ou organizacionais ou ambos para os quais o sistema de gestão de compliance será aplicado especialmente se a organização é uma parte de uma entidade maior Ao determinar esse escopo a organização deve considerar as questões internas e externas referidas em 41 os requisitos referidos em 42 45 e 46 O escopo deve estar disponível como informação documentada 44 Sistema de gestão de compliance A organização deve estabelecer implementar manter e melhorar continuamente um sistema de gestão de compliance incluindo os processos necessários e as suas interações de acordo com os requisitos deste documento O sistema de gestão de compliance deve refletir os valores objetivos estratégias e os riscos de compliance da organização levando em conta o contexto da organização ver 41 45 Obrigações de compliance A organização deve sistematicamente identificar as suas obrigações de compliance resultantes das suas atividades produtos e serviços e avaliar os seus impactos nas suas operações A organização deve ter processos implementados para a identificar as novas e modificadas obrigações de compliance para assegurar o compliance contínuo b avaliar o impacto das mudanças identificadas e implementar quaisquer mudanças necessárias na gestão das obrigações de compliance A organização deve manter informação documentada das suas obrigações de compliance 46 Avaliação de riscos de compliance A organização deve identificar analisar e avaliar seus riscos de compliance baseado em um processo de avaliação de riscos de compliance A organização deve identificar os riscos de compliance relacionando as suas obrigações de compliance com as suas atividades produtos serviços e aspectos pertinentes das suas operações A organização deve avaliar os riscos de compliance relacionados aos processos terceirizados e de terceira parte Os riscos de compliance devem ser avaliados periodicamente e sempre que ocorrerem mudanças materiais nas circunstâncias ou no contexto da organização A organização deve reter informação documentada sobre o processo de avaliação dos riscos de compliance e sobre as ações para abordar seus riscos de compliance ISO 2021 ABNT 2021 Todos os direitos reservados 7 5 Liderança 51 Liderança e comprometimento 511 Órgão Diretivo e Alta Direção O Órgão Diretivo e a Alta Direção devem demonstrar liderança e comprometimento em relação ao sistema de gestão de compliance para assegurar que a política de compliance e os objetivos de compliance estão estabelecidos e são compatíveis com a direção estratégica da organização assegurar a integração dos requisitos do sistema de gestão de compliance dentro dos processos de negócio da organização assegurar que os recursos necessários para o sistema de gestão de compliance estão disponíveis comunicar a importância de um sistema de gestão de compliance eficaz e da conformidade com os requisitos do sistema de gestão de compliance assegurar que o sistema de gestão de compliance alcance os seus resultados pretendidos apoiar e orientar as pessoas para contribuírem com a eficácia do sistema de gestão de compliance promover a melhoria contínua apoiar outros papéis pertinentes para demonstrar sua liderança e como se aplica às suas áreas de responsabilidades NOTA As referências a negócio neste documento podem ser interpretadas amplamente para significar aquelas atividades que são o núcleo principal dos propósitos de existência da organização O Órgão Diretivo e a Alta Direção devem estabelecer e sustentar os valores da organização assegurar que as políticas processos e procedimentos sejam desenvolvidos e implementados para alcançar os objetivos de compliance assegurar que eles sejam informados em um tempo hábil sobre os assuntos de compliance incluindo as instâncias de não compliance e assegurando que ações apropriadas sejam tomadas assegurar que o comprometimento com o compliance é mantido e que o não compliance e o comportamento não compliance sejam tratados adequadamente assegurar que as responsabilidades pelo compliance estejam incluídas nas descrições do cargo conforme apropriado indicar ou nomear uma função de compliance ver 532 assegurar que um sistema para levantar e abordar questões de acordo com 83 seja estabelecido 512 Cultura de compliance A organização deve desenvolver manter e promover uma cultura de compliance em todos os níveis dentro da organização ISO 2021 ABNT 2021 Todos os direitos reservados 8 ABNT NBR ISO 373012021 O Órgão Diretivo a Alta Direção e os gestores devem demonstrar um comprometimento ativo visível consistente e sustentável por meio de uma conduta e um comportamentopadrão que seja requerido por toda a organização A Alta Direção deve encorajar um comportamento que crie e apoie o compliance Devese prevenir e não tolerar comportamentos que comprometaml compliance 513 Governança de compliance O Órgão Diretivo e a Alta Direção devem assegurar que os seguintes princípios estejam implementados acesso direto da funcão de compliance ao Órgão Diretivo independência da função de compliance autoridade e competência apropriada da função de compliance NOTA 1 O acesso direto pode incluir linha de subordinação direta ao Órgão Diretivo apresentação de relatórios periódicos sobre o Órgão Diretivo e participação em suas reuniões NOTA 2 A independência significa a ausência de quaisquer interferências ou pressão ou ambas com a operação da função de compliance 52 Política de compliance O Órgão Diretivo e a Alta Direção devem estabelecer uma política de compliance que a seja apropriada ao propósito da organização b proveja uma estrutura para estabelecer os objetivos de compliance c inclua um compromisso para atender aos requisitos aplicáveis d inclua um compromisso para a melhoria contínua do sistema de gestão de compliance A política de compliance deve estar alinhada com os valores os objetivos e a estratégia da organização requerer o compliance com as obrigações de compliance da organização apoiar os princípios de governança de compliance de acordo com 513 fazer referência e descrever a função de compliance definir as consequências de estar em não compliance com os procedimentos processos políticas e obrigações de compliance da organização encorajar o levantamento de preocupações e proibir quaisquer formas de retaliação estar escrita em uma linguagem clara de modo que todo o pessoal possa entender facilmente os propósitos e princípios ser adequadamente implementada e aplicada ISO 2021 ABNT 2021 Todos os direitos reservados 9 ABNT NBR ISO 373012021 estar disponível como informação documentada ser comunicada dentro da organização estar disponível para as partes interessadas conforme apropriado 53 Papéis responsabilidade e autoridades 531 Órgão Diretivo e Alta Direção O Órgão Diretivo e a Alta Direção devem assegurar que as responsabilidades e autoridades para os papéis pertinentes estejam atribuídas e comunicadas dentro da organização O Órgão Diretivo e a Alta Direção devem atribuir autoridade e responsabilidades para a assegurar que o sistema de gestão de compliance esteja em conformidade com os requisitos deste documento b reportar sobre o desempenho do sistema de gestão de compliance para o Órgão Diretivo e para a Alta Direção O Órgão Diretivo deve assegurar que a Alta Direção é avaliada com base no alcance dos objetivos de compliance exercer uma supervisão sobre a Alta Direção com relação à operação do sistema de gestão de compliance A Alta Direção deve alocar recursos adequados e apropriados para estabelecer desenvolver implementar avaliar manter e melhorar o sistema de gestão de compliance assegurar a existência de sistemas eficazes de reporte de desempenho de compliance em tempo hábil assegurar o alinhamento entre as metas operacionais e estratégicas e as obrigações de compliance estabelecer e manter mecanismos de responsabilização incluindo ações disciplinares e consequências assegurar a integração do desempenho do compliance nas avaliações de desempenho do pessoal 532 Função de compliance A função de compliance deve ser responsável pela operação do sistema de gestão de compliance incluindo o seguinte facilitar a identificação das obrigações de compliance documentar a avaliação dos riscos de compliance ver 46 alinhar o sistema de gestão de compliance com os objetivos de compliance monitorar e medir o desempenho do compliance 10 ISO 2021 ABNT 2021 Todos os direitos reservados ABNT NBR ISO 373012021 analisar e avaliar o desempenho do sistema de gestão de compliance para identificar quais são as necessidades de ação corretiva estabelecer um sistema de documentação e reporte de compliance assegurar que o sistema de gestão de compliance é analisado criticamente a intervalos planejados ver 92 e 93 estabelecer um sistema para levantamento de preocupações e assegurando que as questões sejam endereçadas A função de compliance deve exercer supervisão de modo que as responsabilidades para alcançar as obrigações de compliance identificadas estejam adequadamente alocadas ao longo de toda a organização as obrigações de compliance estejam integradas com as políticas os processos e os procedimentos todas as pessoas pertinentes são treinadas conforme requerido os indicadores de desempenho do compliance estejam estabelecidos A função de compliance deve prover pessoal com acesso aos recursos sobre os procedimentos processos e políticas de compliance aconselhamento para a organização sobre assuntos relacionados ao compliance NOTA As obrigações específicas da função de compliance não dispensam outras pessoas das suas responsabilidades pelo compliance A organização deve assegurar que a função de compliance tenha acesso a tomadores de decisão seniores e a oportunidade de contribuir no início dos processos de tomada de decisão todos os níveis da organização todo o pessoal informações documentadas e dados necessários orientação especializada sobre leis regulamentos códigos e padrões organizacionais pertinentes 533 Direção A direção deve ser responsável pelo compliance dentro da sua área de responsabilidade cooperando e apoiando a função de compliance e encorajando o pessoal a fazer o mesmo assegurando que todo o pessoal dentro de seu controle esteja cumprindo os procedimentos os processos as políticas e as obrigações de compliance da organização identificando e comunicando os riscos de compliance nas suas operações integrando as obrigações de compliance às práticas e aos procedimentos de negócio existentes em suas áreas de responsabilidade ISO 2021 ABNT 2021 Todos os direitos reservados 11 apoiando e atendendo as atividades de treinamento de compliance desenvolvendo a conscientização junto ao pessoal sobre as obrigações de compliance e orientandoos a cumprir os requisitos de competência e treinamento encorajando seu pessoal a levantar preocupações de compliance e apoiandoos e impedindo de quaisquer formas de retaliação participando ativamente na gestão e na resolução de incidentes relacionados a compliance e outras questões conforme requerido assegurando que uma vez identificada a necessidade de ação corretiva a ação corretiva apropriada seja recomendada e implementada 534 Pessoal Todo pessoal deve cumprir com os procedimentos processos políticas e às obrigações de compliance da organização reportar preocupações questões e falhas de compliance participar dos treinamentos conforme requerido 6 Planejamento 61 Ações para abordar riscos e oportunidades Ao planejar o sistema de gestão de compliance a organização deve considerar as questões referidas em 41 e os requisitos referidos em 42 e determinar os riscos e oportunidade que precisam ser considerados para prover garantia de que o sistema de gestão de compliance pode alcançar seus resultados pretendidos prevenir ou reduzir efeitos indesejados alcançar a melhoria contínua Ao planejar o sistema de gestão de compliance a organização deve considerar seus objetivos de compliance ver 62 as obrigações de compliance identificadas ver 45 os resultados da avaliação de riscos de compliance ver 46 A organização deve planejar a ações para abordar estes riscos e oportunidades b como 1 integrar e implementar as ações em seus processos do sistema de gestão de compliance 2 avaliar a eficácia dessas ações 12 ISO 2021 ABNT 2021 Todos os direitos reservados 62 Objetivos de compliance e planejamento para alcançálos A organização deve estabelecer os objetivos de compliance para as funções e níveis pertinentes Os objetivos de compliance devem a ser consistentes com a política de compliance b ser mensuráveis se praticável c considerar os requisitos aplicáveis d ser monitorados e ser comunicados f estar atualizados conforme apropriado g estar disponíveis como informação documentada Ao planejar como alcançar os seus objetivos de compliance a organização deve determinar o que será feito quais recursos serão requeridos quem será o responsável quando estará completo como os resultados serão avaliados 63 Planejamento de mudanças Quando a organização determinar as necessidades para mudanças do sistema de gestão de compliance estas mudanças devem ser conduzidas de uma forma planejada A organização deve considerar os propósitos das mudanças e suas potenciais consequências o projeto e a eficácia operacional do sistema de gestão de compliance a disponibilidade de recursos adequados a alocação ou realocação de responsabilidades e autoridades 7 Apoio 71 Recursos A organização deve determinar e prover os recursos necessários para o estabelecimento a implementação a manutenção e a melhoria contínua do sistema de gestão de compliance ISO 2021 ABNT 2021 Todos os direitos reservados 13 72 Competência 721 Generalidades A organização deve determinar a competência necessária de pessoas que realizam trabalhos sob o seu controle e que afetam o seu desempenho de compliance assegurar que essas pessoas sejam competentes com base em educação treinamento ou experiência apropriados tomar ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas onde aplicável Informação documentada apropriada deve estar disponível como evidência de competência NOTA Ações aplicáveis podem incluir por exemplo a provisão de treinamento o coaching ou a mudança de atribuições do pessoal atualmente empregado ou empregar ou contratar pessoas competentes 722 Processo de contratação Em relação a todo o seu pessoal a organização deve desenvolver estabelecer implementar e manter processos a em que as condições de contratação requeiram que o pessoal cumpra com os processos os procedimentos as políticas e as obrigações de compliance da organização b que dentro de um período razoável do início da sua contratação o pessoal receba uma cópia da política de compliance e treinamento em relação a essa política ou tenha acesso a ela c ações disciplinares apropriadas devem ser tomadas contra o pessoal que viole os processos e os procedimentos e as políticas e as obrigações de compliance da organização Como parte do processo de contratação a organização deve considerar os riscos de compliance impostos pelas funções e pelo pessoal e aplicar os procedimentos de due diligence conforme requerido antes de qualquer contratação transferência ou promoção A organização deve implementar um processo que permita realizar uma análise crítica periódica das metas de desempenho dos bônus por desempenho e de outros incentivos para verificar se existem medidas apropriadas em vigor para prevenir o encorajamento ao não compliance 723 Treinamento A organização deve prover para o pessoal pertinente treinamento em bases regulares desde o início da contratação e a intervalos planejados determinados pela organização O treinamento deve ser a apropriado aos papéis do pessoal e aos riscos de compliance aos quais as pessoas estão expostas b avaliado quanto à sua eficácia c analisado criticamente regularmente 14 ISO 2021 ABNT 2021 Todos os direitos reservados ABNT NBR ISO 373012021 Considerando conta os riscos de compliance identificados a organização deve assegurar que procedimentos estejam implementados para contemplar a conscientização e o treinamento para terceiras partes que atuam em seu nome e que possam causar um risco de compliance para a organização Os registros de treinamento devem ser retidos como informação documentada 73 Conscientização As pessoas que realizam trabalho sob o controle da organização devem estar conscientes da política de compliance das suas contribuições para a eficácia do sistema de gestão de compliance incluindo os benefícios da melhoria do desempenho de compliance das implicações de estarem em não conformidade com os requisitos do sistema de gestão de compliance das formas e dos procedimentos para o levantamento de preocupações de compliance ver 83 da relação da política de compliance e das obrigações de compliance pertinentes aos seus papéis da importância de apoiar a cultura de compliance 74 Comunicação A organização deve determinar as comunicações internas e externas pertinentes para o sistema de gestão de compliance incluindo a o que comunicar b quando se comunicar c com quem se comunicar d como se comunicar A organização deve considerar os aspectos de diversidade e de barreiras potenciais ao considerar suas necessidades de comunicação assegurar que pontos de vista das partes interessadas sejam considerados no estabelecimento dos seus processos de comunicação ao estabelecer seus processos de comunicação incluir a comunicação sobre sua cultura de compliance obrigações e objetivos de compliance assegurar que a informação sobre compliance a ser comunicada seja consistente com as informações geradas dentro do sistema de gestão de compliance e confiável responder às comunicações pertinentes sobre o seu sistema de gestão de compliance ISO 2021 ABNT 2021 Todos os direitos reservados 15 ABNT NBR ISO 373012021 reter informação documentada como evidência da sua comunicação conforme apropriado comunicar internamente informações pertinentes do sistema de gestão de compliance entre os vários níveis e funções da organização incluindo mudanças no sistema de gestão de compliance conforme apropriado assegurar que seus processos de comunicação possibilitam que o pessoal contribua para a melhoria contínua do sistema de gestão de compliance assegurar que seus processos de comunicação possibilitam ao pessoal levantar preocupações ver 83 comunicar externamente informações pertinentes do sistema de gestão de compliance conforme estabelecido pelos processos de comunicação da organização e incluir comunicação sobre a sua cultura de compliance objetivos e obrigações de compliance 75 Informação documentada 751 Generalidades O sistema de gestão de compliance da organização deve incluir a informação documentada requerida por este documento b informação documentada determinada pela organização como sendo necessária para a eficácia do sistema de gestão de compliance NOTA A extensão da informação documentada para um sistema de gestão de compliance pode diferir de uma organização para outra devido ao porte da organização e seu tipo de atividades processos produtos e serviços à complexidade dos processos e suas interações à competência do pessoal 752 Criando e atualizando a informação documentada Ao criar e atualizar informação documentada a organização deve assegurar apropriadamente identificação e descrição por exemplo título data autor ou um número de referência formato por exemplo idioma versão de software gráficos e meio por exemplo papel eletrônico análise crítica e aprovação quanto à adequação e suficiência 753 Controle da informação documentada A informação documentada requerida pelo sistema de gestão de compliance e por este documento deve ser controlada para assegurar que a ela esteja disponível e adequada ao uso onde e quando for necessária b ela esteja protegida adequadamente por exemplo contra perda de confidencialidade uso impróprio ou perda de integridade 16 ISO 2021 ABNT 2021 Todos os direitos reservados