×

O que as ISO 37001, 19600 e 31000 têm em comum? E como elas podem ajudar sua empresa?


 

A adoção de um Sistema de Gestão, muitas vezes envolve a conquista de mais de um selo ISO a fim de atingir o nível mais alto de qualidade possível, dentro do seu nicho de negócios. Toda empresa que visa crescimento e deseja inspirar confiança adota pelo menos mais de um sistema de gestão de qualidade em sua administração.

Conheça a seguir os princípios das ISO 37001, 19600 e 31000 que, juntas, podem ajudar sua empresa a realmente se destacar no mercado.

ISO 37001

Também conhecida como norma anticorrupção ou antissuborno, é uma norma internacional que fornece os requisitos  e a devida orientação para estabelecer, implantar, manter e aperfeiçoar um sistema de gestão anticorrupção.

Pode ser aplicada em qualquer organização, e diante de tantos escândalos ligados às empresas estourando no cenário político brasileiro, ela funciona como um diferencial.

Seu objetivo principal é apoiar o combate aos atos ilícitos por meio de uma cultura de integridade, transparência e conformidade com as leis e regulamentações aplicáveis.

A norma ISO 37001 institui o combate ao suborno praticado tanto contra uma organização e seus funcionários, como em favor destes. Também é aplicada para combater os subornos praticados e recebidos por terceiros, ligados direta ou indiretamente à organização.

Tolerar a política de corrupção dentro de uma empresa é completamente perigoso para qualquer organização que queira conquistar o crescimento sustentável do seu negócio.  Sem um firme combate à corrupção, não há como aplicar nenhuma das outras normas ISO.

ISO 19600

Também conhecida como ISO Compliance, já que contém diretrizes sobre sistemas de gestão da compliance. Lembrando que o termo compliance é uma palavra de origem Inglesa — vem da conjugação “to comply”, que significa agir de acordo com uma regra, uma instrução interna, um comando ou um pedido. Logo, No âmbito corporativo, o compliance é formado por um conjunto de regras e normas legais que regulamentam as políticas e diretrizes internas de uma organização, bem como as ações e planos para sanar as não conformidades identificadas no negócio.

A ISO 19600 se volta exatamente às diretrizes para o perfeito cumprimento da compliance, ou seja, os requisitos que a empresa precisa cumprir para manter a conformidade (ou que decidiu cumprir para honrar sua missão e valores).

Esta norma fornece orientações abrangentes, com exemplos úteis e fáceis de se seguir, para as empresas que desejam implementar um ou comparar sua estrutura já existente com o padrão internacional oficialmente estabelecido. Seus benefícios incluem padronização de documentos e processos, maior qualidade de produtos e serviços, fortalecimento da imagem da empresa, redução de custos entre outros.

Como o cumprimento da compliance também envolve o combate a atos ilícitos dentro de um ambiente empresarial, podemos dizer que a ISO 37001 complementa a ISO 19600.

No entanto, uma característica essencial que distingue a ISO 19600 e a ISO 37001, é que esta última foi elaborada como uma especificação com requisitos mínimos para obter uma certificação acreditada. Já a norma de compliance foi elaborada como um guia de diretrizes sem finalidade de certificação acreditada. A ISO 37001 é mais assertiva e a ISO 19600 é mais voltada a sugestões e diretrizes. A ISO 37001 foi pensada para facilitar a auditoria; a ISO 19600 foi elaborada para facilitar a implementação do sistema de gestão.

ISO 31000

Tem como objetivo fornecer um padrão para a implementação de um gerenciamento de riscos para todas as organizações. As políticas de gerenciamento de riscos incluem a identificação, triagem, tratamento e erradicação de problemas que possam causar impactos negativos numa organização. Lembrando também que todos os riscos podem ser vistos pelo viés da oportunidade, ou seja, a partir do momento que são identificados, eles também funcionam como uma janela para melhorias e desenvolvimento da organização.

No momento que as empresas passam a ter os seus riscos monitorados, é possível aumentar seu “capital reputacional”, isto é, ocorre um crescimento do retorno perante seus investimentos, favorecendo naturalmente o cenário para negociações, para que assim seja possível alcançar metas e objetivos estipulados.

Normas complementares

As três normas citadas neste texto podem ser perfeitamente complementares numa gestão e, quando instituídas simultaneamente, não são excludentes de forma alguma.

Primeiro pode-se instituir a ISO 19600, que vai se voltar ao cumprimento de questões de compliance. A seguir, institui-se a ISO 31000, que vai trabalhar em cima do gerenciamento de riscos capazes de prejudicar o cumprimento da compliance.

O processo de cumprimento da compliance por si só vai exigir leis anticorrupção, que serão abordadas pela ISO 37001.

Conforme demonstrado no ciclo acima, as ISO 19600, 37001 e 31000 são ISOs que se complementam, e cujos desenvolvimentos acabam formando intersecções entre si. São normas que podem e devem ser implementadas por todas as organizações que visam crescer com transparência e ética, visando alcançar o ápice da qualidade e construir uma boa imagem diante do mercado nacional e internacional.


Conheça as Políticas de Gerenciamento de Risco


 

Todas as organizações, de todos os setores, estão sujeitas a algum tipo de risco. Portanto, é fundamental que os gestores compreendam que o risco é algo intrínseco à todas as atividades. É a partir deste contexto, que surgem as políticas de Gerenciamento de Riscos.

Mesmo as organizações, consideradas tradicionalistas e com vários anos de existência, sabem que se não fizerem uma gestão correta em relação aos riscos, criar-se-á um cenário de adversidades que podem levar à situações irreversíveis como perdas de recursos, gastos desnecessários e muitas vezes falência.

São poucos os Gestores que compreendem a importância sobre a identificação de riscos e que através de uma gestão de riscos cuidadosa, se é possível encontrar pontos positivos capazes de auxiliar as organizações nas tomadas de decisão, uma vez que estes riscos podem ser usados como vantagens estratégicas pelo Gestor.

Há grandes instituições internacionais, como o caso da ISO – International Organization for Standardization, que pesquisa a criação de normas e estatutos capazes de ajudar as organizações de todo o mundo, através de políticas de gerenciamento de riscos.

Partindo dessa visão, de que as organizações podem se munir estrategicamente através da sua gestão de riscos, cabe ao Gestor ter conhecimento sobre as Políticas de Gerenciamento de Riscos, bem como reconhecer a importância da implementação de uma Gestão de Riscos para melhorias nos processos da empresa.

Confira a seguir algumas considerações sobre a relevância de se implementar uma boa Gestão de Risco na sua empresa.

O que é gestão de risco?

O gerenciamento de risco consiste na identificação, planejamento, administração e controle dos recursos materiais, processuais e humanos da organização com o objetivo de minimizar e aproveitar os riscos ou incertezas.

As incertezas funcionam como oportunidades da empresa em identificar pontos positivos ou pontos que precisam de melhoria, visando transformar a situação não favorável, à favor da organização.

É neste momento que entram os “gerenciadores de riscos”, profissionais capacitados e com conhecimento para identificar quais são as eficiências, as incertezas, os riscos e as possíveis oportunidades, para realizar um trabalho que gere valor para o seu negócio.

A partir do momento que as empresas passam a ter os seus riscos monitorados, será possível aumentar seu “capital reputacional”, isto é, aumenta-se o retorno sob o investimento, favorecendo o cenário do negócio, para que assim possa se alcançar metas e objetivos estipulados.

Quais as vantagens da gestão de risco?

Já foi falado, em um post anterior, sobre as vantagens da gestão de risco. Porém, Gestores que visam tomar decisões com base em ações concisas ligadas à identificação e tratamento de riscos conseguem gerar inúmeros benefícios para organização, como por exemplo:

Agregar valor ao negócio;Proteger o ambiente institucional;

Facilitar a tomada de decisões em todos os níveis hierárquicos;

Abordar e tratar incertezas;

Valorizar o capital humano e intelectual dos colaboradores;

Permitir o processo de melhoria contínua em todos os processos da organização.

Vale salientar que em uma gestão de riscos há vantagens que se estendem também para toda a cadeia de fornecedores, visto que as mudanças e melhorias também se aplicam aos stakeholders da organização de maneira geral.

Profissional responsável pelo gerenciamento de riscos

Cada área da organização deve contar com o próprio responsável para identificar os riscos, incertezas e oportunidades das tarefas desempenhadas pelo time. Tudo deve ser analisado, desde as pequenas atividades até os grandes acordos fechados.

Além disso, é fundamental que este profissional proponha ações para o tratamento dos riscos e das não conformidades identificadas, bem como avalie os resultados obtidos, de modo que ele acompanhe todo processo, devidamente.

É importante também que este profissional tenha o treinamento correto para identificar e priorizar quais riscos deverão ser resolvidos ou gerenciados, bem como o de caráter de urgência ou prioridade frente aos demais igualmente identificados.

Como tratar os riscos identificados?

Esta é considerada uma das partes mais desafiadoras, porém, se feita de maneira processual e correta, não deverá apresentar problemas. Os riscos devem ser identificados e tratados obedecendo a seis passos cruciais, conforme apontado abaixo:

1- Evitar o risco:  Todos os processos ou atividades que dão origem ao risco devem ser revistos, alterados ou descontinuados.

2 – Eliminar o risco: A fonte primária do risco deve ser descontinuada ou tratada para que não seja mais fonte de riscos.

3 – Redução do risco: Caso não seja possível eliminar completamente o risco ou as atividades que dão origem ao problema, é necessário concentrar esforços em ações que diminuirão os fatores de risco.

4 – Administração do risco: Se, mesmo perante aos esforços, não seja possível diminuir o risco, é necessário implementar ações e ferramentas de mensuração, administração e controle para este risco.

Para chegar ao estágio quatro, é aconselhado ter esgotado todas as possibilidades de eliminação e redução do risco.

5 – Alertar sobre o risco: É fundamental que todas as partes envolvidas ou afetadas de alguma maneira pelo risco sejam, devidamente, comunicadas para que as ações de contenção sejam compartilhadas.

6 – Transformação do risco: Neste estágio, o risco é analisado para que seja transformado em oportunidades que tragam benefícios para o negócio e que sejam como ‘saídas’ para a inovação e para o processo de melhoria contínua.

Como se classifica um Risco?

Dependendo do grau de gravidade e das consequências que o risco pode trazer para o negócio, ele pode ser classificado em cinco estágios diferentes.

1 – Risco extremo: São aqueles que podem paralisar produções, processos, projetos e ações, inviabilizando a conquista de objetivos e metas, com danos irreversíveis.

2 – Risco alto: São aqueles que podem interromper produções, processos, projetos e ações dificultando a conquista de objetivos e metas, com danos de reversão muito difícil.

3 – Risco médio: São aqueles que podem interromper produções, processos, projetos e ações dificultando a conquista de objetivos e metas, com danos de grande impacto.

4 – Risco baixo: São aqueles que podem degradar produções, processos, projetos e ações, interferindo na conquista de objetivos e metas, com danos de baixo impacto.

5 – Risco mínimo: São aqueles que podem degradar produções, processos, projetos e ações, perturbando a conquista de objetivos e metas, com danos de impacto mínimo.

ISO 31000 – Gerencie seus Riscos

Esta é uma norma certificadora que tem em suas exigências os melhores padrões para gerenciamento de riscos, incluindo requisitos legais, em nível internacional.

A ISO 31000 é uma norma criada em 2009 cujo objetivo é de fornecer um padrão para a implementação de um gerenciamento de riscos para todas as organizações.

As políticas de gerenciamento de riscos incluem a identificação, triagem, tratamento e erradicação de problemas que podem causar impactos negativos na organização.

No entanto, é importante ressaltar mais uma vez que nem todos os riscos devem ser encaradas por um viés negativo, pois também funcionam como oportunidades de melhoria, abrindo portas para o processo de inovação na sua gestão.

Conheça mais sobre os serviços e produtos da Área Técnica da Verde Ghaia, especializada em Gestão de Riscos, Análise de Risco Jurídico, Due Diligence, Pareceres, Seguro Ambiental, dentre outros.


Gestão de riscos e compliance: Fortalece a imagem Empresarial


 

A ABNT NBR ISO 31000-  Gestão de Risco, foi desenvolvida em resposta à demanda das organizações e as necessidades de se ter algo além das ações preventivas. Juntamente a versão 2015 da ISO 9001, as organizações estão adotando ações mais embasadas na probabilidade e ocorrência de eventos.

 

De um modo geral, as empresas sofrem todos os tipos e tamanhos de influências provenientes de fatores internos e externos, chamadas partes interessadas, que são todas aquelas “partes” que influenciam o negócio positiva ou negativamente. O efeito da incerteza sobre os objetivos das organizações é chamado de “RISCO”.

Pensando em qualquer organização, todas as atividades das mesmas, envolvem riscos. Estes podem ser englobandos em um só processo ou atividade ou em todo o negócio. Com base neste conceito é que as empresas precisam gerenciar riscos, identificando e analisando-os para que em seguida, possa avaliar se o risco deve ser modificado.

Gerenciando os Riscos da Organização

De alguma forma as organizações acabam gerenciando seus riscos em algum grau, mas, sem a necessária estruturação. A NBR ISO 31000:2018 estabelece um número de princípios que precisam ser atendidos para tornar a gestão de riscos mais eficaz e mais prática. Para tanto, a Norma recomenda que as organizações melhorem continuamente sua estrutura que tem como finalidade integrar o processo na Governança e Gestão Empresarial.

A gestão de riscos pode ser implementada visando um cliente, um processo, um projeto, uma atividade e em diversos níveis, funções e momentos. De modo genérico, a ISO 31000 traz uma abordagem e metodologia para gerir qualquer tipo de risco. No entanto, todos os setores devem saber seu papel nesta gestão, envolvendo toda a organização dentro de um contexto, como uma atividade no início do processo da gestão de riscos.

Com o intuito de especificar melhor cada termo utilizado em um processo de gestão de riscos, apresentamos abaixo as principais definições que podem nortear os estudos da norma conforme a ABNT.

Risco: efeito da incerteza nos objetivos;

Gestão de Riscos: atividades para dirigir e controlar uma organização no que se refere a riscos;

Estrutura da Gestão de Riscos: Conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização.

Propriedade do Risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco;

Processo de gestão de risco: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.

Contexto externo: ambiente externo no qual a organização busca atingir seus objetivos;

Contexto interno: ambiente interno no qual a organização busca atingir seus objetivos;

Parte interessada: pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade;

Processo de Avaliação de Riscos: processo global de identificação de riscos, análise de riscos e avaliação de riscos;

Identificação de Riscos: processo de busca, reconhecimento e descrição de riscos;

Fonte de Risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco;

Consequência: resultado de um evento que afeta os objetivos;

Probabilidade: chance de algo acontecer;

Análise de Riscos: processo de compreender a natureza do risco e determinar o nível de risco;

Critérios de Risco: termos de referência contra os quais a significância de um risco é avaliada;

Nível de Risco: magnitude de um risco ou combinação de riscos, expressa em termos da combinação das consequências e de suas probabilidades;

Avaliação de Riscos: processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável;

Tratamento de Riscos: processo para modificar o risco.

Benefícios da Gestão de Riscos

A gestão de riscos descreve um processo genérico, sistemático e lógico para qualquer tipo de risco. Estabelece uma série de princípios básicos que precisam ser satisfeitos para fazer a gestão eficaz dos riscos. Recomenda-se que as organizações desenvolvam, implementem e melhorem, continuamente, sua estrutura cuja finalidade é integrar o processo de gestão do risco na Governança Corporativa da Organização.

Abaixo, alguns benefícios a serem alcançados através das práticas de gerenciamento de riscos:

Aumentar a probabilidade de atingir os objetivos;

Encorajar uma gestão proativa;

Estar atento para a necessidade de identificar e tratar os riscos através de toda a organização;

Melhorar a identificação de oportunidades e ameaças;

Atender às normas internacionais e requisitos legais e regulatórios pertinentes;

Melhorar o reporte das informações financeiras;

Melhorar a governança;

Melhorar a confiança das partes interessadas;

Estabelecer uma base confiável para a tomada de decisão e o planejamento;

Melhorar os controles;

Alocar e utilizar eficazmente os recursos para o tratamento de riscos;

Melhorar a eficácia e a eficiência operacional;

Melhorar o desempenho em saúde e segurança, bem como a proteção do meio ambiente;

Melhorar a prevenção de perdas e a gestão de incidentes;

Minimizar perdas;

Melhorar a aprendizagem organizacional;

Aumentar a resiliência da organização.

É importante ressaltar que a Liderança (governança corporativa) de uma organização é feita pela Alta Direção e pessoal de alto nível em diferentes departamentos. E para direcionar a gestão e os trabalhadores para objetivos comuns e comportamentos que visem por uma política da organização, faz-se necessário estabelecer, comunicar e implementar um sistema de gestão com diferentes ações de controle levando em conta os requisitos legais e regulamentares.

Importante ressaltar que esta norma não é destinada a certificação.

 


Como o mapeamento de risco pode ajudar sua empresa a estar em Compliance


 

É possível afirmar com convicção que, antes de sair de casa, você verifica se está tudo trancado, correto? E antes de entrar no carro, você certamente coloca o cinto de segurança. Sua intenção não é apenas evitar a multa por infração de trânsito, mas também os riscos decorrentes de um acidente, não é?

Sem perceber, você utiliza no seu dia a dia diversas ferramentas de gerenciamento de risco. Sendo assim, tal cautela também não deve ser diferente na sua empresa.Mas, afinal, o que são Riscos?

O que são riscos?

Os riscos sofridos por uma empresa podem ser de diversas naturezas, como por exemplo:

Risco Legal: quando a organização não está em acordo com a legislação e códigos de conduta que regem as operações de seu negócio;

Risco Operacional: quando a empresa utiliza de recursos (humanos e operacionais) não eficientes e que, portanto, podem trazer prejuízos;

Risco de Imagem: quando, por um descuido de conduta, a empresa arranha sua reputação perante clientes, fornecedores e a sociedade em geral.

Existem também aspectos externos que podem afetar as organizações e aumentar os riscos do negócio, como fatores de natureza política no país, instabilidade econômica, eventos sociais e tecnológicos.

Mas não se engane: os riscos não são apenas negativos, ou seja, aqueles que podem gerar ameaças com consequências desfavoráveis à companhia, levando a prejuízos e danos.

Parece contraditório, mas alguns riscos podem ser classificados como positivos. São as chamadas oportunidades. Riscos positivos são aqueles que podem gerar ganhos, melhorias e até crescimentos nas organizações. Como exemplo, pode ser o desenvolvimento de um novo produto que tem grande potencial para arrebanhar mais e mais clientes. Mas atenção: os riscos positivos, ou oportunidades, precisam ser planejados. Um evento ocorrido fortuitamente não pode ser considerado um risco positivo.

O gerenciamento das oportunidades é tão importante quanto o controle das ameaças. Uma oportunidade pode gerar um novo negócio, projeto, mercado e ainda se desenrolar em outra novas oportunidades.

Compliance

O termo compliance vem do inglês to comply, que significa estar em conformidade. No ramo organizacional, é a realização de atividades e processos em acordo com normas e procedimentos legais, tanto externos quanto internos.

Para estabelecer uma política interna de compliance, é importante compreender não apenas a natureza do seu negócio, mas também de todos os processos e áreas que estarão sob vigência das normas estabelecidas. Só assim todas as regras farão sentido ao negócio e serão de fato eficazes.

Um compliance bem elaborado traz diversos benefícios, como aumento da credibilidade perante clientes, fornecedores, investidores e parceiros, prevenção de fraudes e corrupção, redução de custos, aumento da lucratividade, melhoria na produtividade e na qualidade dos produtos/serviços oferecidos, difusão dos valores e a cultura organizacional da empresa etc.

Como fazer uma boa gestão de riscos?


Em geral, o processo se inicia com o chamado mapeamento de riscos, diagnóstico que identifica as áreas e processos expostos aos riscos de compliance, incluindo questões trabalhistas, de Meio ambiente, sanitárias, concorrenciais e até mesmo de crimes financeiros.

Você pode começá-lo realizando entrevistas individuais junto à alta direção da empresa, e depois com os gestores de cada departamento (as entrevistas individuais podem ser demoradas, mas otimizam a coleta de informações, de modo que cada profissional pode oferecer seu ponto de vista). A partir daí, pode-se começar implementar controles internos para o monitoramento e gerenciamento de cada risco (medida que inclusive pode extinguir alguns riscos por completo).

Como o próprio nome diz, o mapeamento de riscos vai mapear os processos organizacionais de forma a identificar fragilidades em cada um deles.

O mapeamento de riscos de compliance deve contemplar uma metodologia, um modelo de risco que especifique bem os tipos de riscos e a o universo de cada um deles (escopo legal e regulatório). A partir desse mapeamento, é possível obter informações precisas para aprimorar o programa de compliance, otimizando assim os processos e recursos da organização.

A matriz de riscos

A matriz de riscos — também conhecida como matriz de probabilidade e impacto — é utilizada durante a análise do risco. É uma ferramenta visual que possibilita a identificação rápida dos riscos que devem receber mais atenção. Ela facilita bastante a compreensão do processo de forma geral e, desta forma, estimula o envolvimento das equipes da organização, pois cada um vai identificar perfeitamente seu papel.

Nesse tipo de matriz, um risco é avaliado por dois critérios: sua probabilidade de acontecer e o impacto que trará para a empresa. A criticidade do risco pode ser baixa, moderada ou muito alta, sendo que são adotadas as cores verde, amarelo e vermelho para identificar cada um deles, respectivamente. Mas pode ser que sua empresa queira redefinir o nível de prioridade que deseja dar aos riscos, conferindo preferência até mesmo aos riscos sob criticidade moderada. Tal decisão depende muito de cada modelo de gestão.

Mais algumas dicas

– É muito importante que cada risco seja pesquisado a fundo. Busque entender todas as características de cada um e identificar como eles podem afetar a organização (seja positiva ou negativamente).

– Faça toda a análise de forma qualitativa e quantitativa.

– Planeje individualmente as ações a serem tomadas para prevenir cada tipo de risco; a abrangência generalizada não é adequada nesse caso.

– Treine sua equipe: uma equipe bem treinada é uma equipe colaborativa. Todos os envolvidos devem compreender a verdadeira importância do compliance e de seus papeis como indivíduos no processo. É importante também educá-los a respeito das leis e regulamentos que regem sua empresa.

– Ofereça todas as ferramentas necessárias: não adianta estabelecer um bom plano se não houver as ferramentas certas para executá-lo. O SOGI, ferramenta de gestão integrada da Verde Ghaia, pode ajudar nesse quesito, auxiliando no monitoramento dos requisitos legais aplicáveis à sua empresa, dos aspectos e impactos ambientais e dos perigos e riscos à sua atividade.

– Estabeleça um canal de denúncias confidencial para assegurar que todos estarão seguindo a compliance.

– Monitore tudo do início ao fim: avalie se as ações estabelecidas ajudaram a diminuir os impactos negativos dos riscos, ou se validaram os impactos positivos. O monitoramento também é importante para manter todos os dados atualizados.

Conclusão

Um mapeamento de riscos eficaz é fundamental para evitar dificuldades na gestão. E também essencial criar uma consciência coletiva em sua empresa via programas de compliance e gestão de riscos integrados, desenvolvendo assim, um local de trabalho mais seguro e saudável, com muito mais produtividade e rentabilidade.


Desafios de implementar um Sistema de gestão voltado ao Compliance


 

Ao longo dos anos, o compliance passou a ser o maior protagonista dentro das organizações devido a sua importância para a conformidade legal. Por conseguinte, esse protagonismo ganhou forças e incentivou tanto as pequenas empresas quanto as grandes a implatarem um sistema gestão mais genuíno e totalmente dedicado ao compliance.

Diante do processo de implantação, as organizações começaram a perceber o quanto seus processos eram retrográdos, além de perceberem que a solução dos seus problemas não eram resolvidos, mas camuflados. Contudo, a implementação do Compliance só ganhou todo o “estrelato”, a partir dos crescentes escândalos de corrupção e das não conformidades das empresas. Com isso, as organizações passaram a encarar o compliance numa perspectiva muito maior, consequência disso são as práticas adotadas para conseguir se manterem perante as obrigações e responsabilidades de atuarem com boas práticas empresariais.

A preocupação hoje, está nos desafios enfrentados na implantação do compliance nas organizações. Isso ocorre, porque é neste momento que se identifica as conformidades legais que podem impactar os requisitos aplicáveis ao negócio e gerar mudanças em toda a cadeia de processos. Pensando nisso, organizamos em seis passos, os cuidados necessários para a implantação do compliance na sua empresa. Esses passos são orientativos, pois para implementar uma gestão baseada em compliance é preciso de um profissional capacitado e com conhecimento em sistema de gestão voltado ao compliance.

(FOTO: THINKSTOCK)
(FOTO: THINKSTOCK)

O que é Compliance?

Como explicado em outro post, a palavra compliance vem do inglês, que tem como significado “agir de acordo com a regra”. A partir dessa tradução, já podemos entender que a função principal ao implementar uma sistema de gestão voltado ao compliance, é assumir todas as responsabilidades e obrigações previstas ao seu negócio. Sendo assim,  a missão de um departamento de compliance é garantir que todas as ações, políticas, controles internos, regras, processos e estratégias da empresa estejam em conformidade com leis, regulamentações e o código de ética da organização.

É importante salientar que o compliance de uma organização também pode fazer exigências. Isto significa que a sua organização pode criar normas e/ou regras para os seus fornecedores, clientes ou qualquer outro stakeholder que envolva relações comerciais. O objetivo é que esta relação se mantenha alinhada aos própositos, missão e valores que a sua organização possui. Portanto, o compliance reúne regras trabalhistas, financeiras, contábeis, ambientais, operacionais e quaisquer outros campos que possam afetar a organização.

Em suma, o compliance garante o cumprimento de todos os requisitos legais da organização, para que não haja transgressões que possam acarretar em problemas para o negócio em todos os seus aspectos.

Como os requisitos legais conversam com o compliance?

Garantir o cumprimento e a gestão dos requisitos legais são atividades pertencentes a área de compliance da organização. Os requisitos legais estão em constante mudança, o compliance deve estar preparado para identificar novas regras, incorporar nos processos da organização e em seguida comunicar à toda organização a maneira mais efetiva para realizar as mudanças e atualizações de normas.

Por que estar em conformidade com a lei? 

O compliance garante que todas as ações da empresa estejam em conformidade legal. Mas, o que significa estar em conformidade? E por que isso é tão importante?

Estar em conformidade legal significa cumprir todas as leis, legislações, exigências e normas que se aplicam ao negócio em todas as esferas de poder – municipal, estadual e federal. Não respeitar os requisitos legais do negócio pode acarretar consequências seríssimas. Por este motivo, as empresas que fazem contratos fraudulentos, por exemplos, estão sujeitas a penalidades que vão desde multa até processos judiciais que podem interditar toda a produção e até mesmo o próprio negócio.

Nos últimos anos, o Brasil teve uma onda de escândalos sobre a corrupção que envolvia políticos e empresários, o que afetou muitas transações comerciais e de investimento. Como consequência, assistimos a um vasto número de empresas brasileiras declarando falência. Outro fator que deu destaque ao Compliance foi a opinião pública, que se posicionou de maneira mais rigorosa perante àquelas empresas que não cumprem com as suas responsabilidades e obrigações. Por isso, permitir que a sua organização se envolva em escândalos e/ou  não esteja em conformidade, pode representa uma perda irreparável.

Como monitorar as não conformidades?

No Brasil, é importante entender bem, como funcionam as cargas tributárias, uma vez que a sua complexidade exige conhecimento técnico e específico para se ter excelência no gerenciamento e evitar qualquer tipo de riscos ao negócio. Como já é sabido, há diversas legislações e processos que as organizações devem seguir, mas que muitas vezes podem passar despercebidos, deixando de serem monitorados. No entanto, as penalidades não tardarão em chegar, repreendendo as organizações pelo não cumprimento. Por isso, é fundamental que empresas, de qualquer tamanho e segmento, monitorem os seus requisitos legais aplicáveis, evitando “manchar o negócio” e diminuir sua condição no mercado.

O monitoramento deve ser constante e pode ser feito com apoio de softwares de gestão de requisitos legais. Essas ferramentas são desenvolvidas para agilizar processos e ajudar as organizações a se manterem sempre em conformidade legal com a gestão de requisitos, de maneira automática.  E ainda, podem identificar pontos de não conformidades, contribuindo na elaboração de planos de ação e no tratamento das não conformidades – TNC.

06 dicas para implementar Compliance nas organizações

1. Elaboração de um código de ética e conduta: Um código de ética e conduta serve como um ‘mapa’ para evitar não conformidades na organização. Ao criar e comunicar esse “manual” para os colaboradores é disseminado um padrão de comportamento e conduta. Assim, todos deverão conhecer e seguir as políticas da organização.

2. Centralização de contratos e processos internos: Contratos, negociações comerciais, concorrência e grandes contratações devem passar pelo time de compliance, que você poderá criar – especialistas de diferentes áreas e que estejam cientes de todos os requisitos legais que impactam o negócio. Caso a demanda seja muito pesada para a rotina, existem empresas que oferecem consultorias em compliance e que tem ferramentas online para a gestão, cabendo a sua equipe apenas monitorar.

3. Tratamento das não conformidade -TNC: É necessário revisar os processos internos a fim de identificar não conformidades, e em seguida elabora um plano de ação que trate os problemas identificados, evitando que os mesmos problemas aconteçam ou que os erros sejam camuflados.

4. Comunicação e compliance: Ações e memorando devem ser sempre trabalhados com o suporte da comunicação interna para evitar falta de conhecimento, por parte dos colaboradores,  gerando transgressões que possam causar prejuízos à empresa.

5. A Alta Direção como exemplo: O trabalho de comunicação devem ser ainda maior com a alta direção, visto que as novas normas ISO prezam pelo o envolvimento da alta direção, consequentemente, contribuiu no processo de conscientização sobre as politicas da empresa.

6. Promover o diálogo para o processo de melhoria contínua: Prevenir e identificar não conformidades é algo desafiador. Por isso, dúvidas e sugestões sempre surgirão no dia a dia dos colaboradores. Crie um canal de diálogo para que as dúvidas possam ser sempre esclarecidas e os processos melhorados, bem como as mudanças necessárias para determinados requisitos legais. Lembrando que as mudanças devem ser claramente comunicadas e explicadas a toda à organização.

Livro de Auditoria de Conformidade Legal da Verde Ghaia
Livro de Auditoria de Conformidade Legal da Verde Ghaia

Conclusão

Percebe-se que o Compliance é o grande aliado da organização. Ele é o responsável por identificar, tratar e prevenir não conformidades que podem causar prejuízos para o negócio. Toda empresa, independentemente de seu tamanho e segmento, precisa lidar com os seus requisitos legais. Sendo assim, ações de compliance devem estar presentes em seus negócios, garantindo transparência e segurança nas relações de negócio.

Ter este passo a passo para implementação do compliance, ajuda você a evitar falhas no processo. Lembrando que são apenas dicas para que você possa dar o primeiro passo rumo à processos mais eficientes, transparentes e seguros.  O nosso principal objetivo é demonstrar que uma Gestão com base em Compliance, pode ajudar as organizações a evitarem transgressões e não conformidades, desencessariamente e que podem surgir em qualquer etapa do negócio e/ou na sua cadeia de fornecedores.

Para saber mais sobre um sistema de gestão voltado ao Compliance, fale conosco e garanta sucesso em seus negócios. Somos especialistas em gestão e softwares de gestão. O Grupo Verde Ghaia atua há 20 anos no mercado nacional e internacional. Tenha um sistema de Gestão eficiente e que vá trazer benefícios a curto, médio e longo prazo!

 

Conheça o Prêmio Compliance Brasil  da Verde Ghaia! Participe!


Por que as falhas acontecem na hora de implementar? Você sabe como resolver? Parte II


 

É muito frustrante realizar a implantação do Sistema de Gestão, e ele falhar. Investimos não apenas em recursos, como também tempo e equipes.
Selecionamos algumas falhas mais comuns, para realizar uma análise crítica das nossas ações e assim, tomar decisões mais assertivas.

Implantação do Sistema de Gestão

Falhas durante a Implantação do Sistema de Gestão

As falhas durante a implementação do Sistema de Gestão pode estar em diversos pontos. Porém, no geral, podemos destacar os seguintes itens abaixo:

Falaremos sobre cada uma delas para você mais abaixo com o intuito de levar você a analisar as falhas.
Ou então, tomar decisões para que nunca aconteça com você.

1. Falha no entendimento do Requisito Normativo

As normas ISO são genéricas. Isto é considerado um ponto positivo, pois faz com que qualquer empresa possa se certificar. Porém, pode ser um ponto falho das empresas. Em outras palavras, por estar muito nas mãos de cada organização, o entendimento dos requisitos e criar a melhor forma de se adequar para atendê-los.
A experiencia em certificações conta muito nesse momento.

2. Atendimento superficial às exigências das normas

As normas foram desenvolvidas de forma a agregar valor à forma de trabalho da organização. Sendo assim, não satisfaz para uma certificação a criação de documentos e práticas que não sejam realmente implantadas e adequadas à realidade da empresa em questão e seu escopo de cerificação.

Implantação do Sistema de Gestão

3. Cultura organizacional e Conscientização

Assim como citado no título, um dos grandes desafios na implementação dos sistemas está na mudança dentro da cultura organizacional. Além disso, as normas são muito claras no que diz respeito à conscientização dos colaboradores quanto:

  • À Política do sistema;
  • Aos objetivos, metas e indicadores relacionados;
  • Aos controles operacionais;
  • Aos aspectos ambientais significativos;
  • Aos perigos e riscos à saúde aos quais estão expostos; dentre outros itens.

Sendo assim, faz-se necessário um projeto que envolva mais do que treinamentos. Isto é, que haja preocupação com a conscientização e envolvimento de todos os cargos dentro da organização. Devendo incluir as lideranças, pois eles podem contribuir para o sucesso nas certificações.

Vale lembrar que conscientizar envolve não apenas informar. Mas, transmitir aos envolvidos o porquê de cada item repassado e que esse trabalho é relevante ao ponto de observar desde o planejamento até a estrategia da empresa.

4. Envolvimento de terceiros

Colaboradores e empresas terceiras interferem diretamente no sucesso das atividades da organização. Logo, no momento de implantação dos Sistemas de Gestão esse público não pode ser excluído, seja da exigência de documentações especificas ou na conscientização dos seus colaboradores

5. Tratamento de Não Conformidades

A busca por melhoria continua, exigida pelas normas de sistema de gestão força as organizações a realizarem uma tratativa adequada de suas não conformidades. Ao contrário do que muitos pensam, encontrar não conformidades é algo que agrega, e muito, ao sistema de gestão. Uma vez que mostra a maturidade da empresa em conseguir evidenciar as falhas internas.

O ponto essencial nesse momento é que as tratativas dessas quebras de requisitos devem ser adequadas ao problema evidenciado. Desse modo, portanto, busca-se evitar a sua recorrência. Isso significa que não conformidades devem ser estudadas, por grupos de mais de uma área, na maioria das vezes, de forma a identificar as reais causas de sua ocorrência. E logo em seguida, criar planos de ação adequados a cada situação.

A análise de eficácia das ações em cima de não conformidades irá refletir diretamente a qualidade dessas analises.

6. Deficiência no levantamento e atendimento a requisitos legais

A falta de um suporte jurídico adequado faz com que muitas vezes as empresas pequem na identificação, no diagnóstico, no monitoramento e no atendimento a legislações por falta de conhecimento ou acompanhamento de atualizações. Com isso, percebe-se que as normas exigem a real dedicação dos colaboradores nos diversos níveis hierárquicos que representam, incluindo os trabalhadores de empresas terceiras em muitos casos.

Aliar-se a uma empresa de consultoria que seja responsável, comprometida, com equipe capacitada e conhecimento técnico amplo, auxilia na prevenção dessas falhas . E se, caso ocorram, existe uma detecção e eliminação de forma ágil, contribuindo para o sucesso da implementação.

Fernanda Innecco
Consultora Externa
Engenheira Química Especialista em Segurança do Trabalho


Curiosidade: Como a ISO escolhe o nome de suas normas?


 

Como definir o número de um determinado padrão ISO? Por exemplo, por que o número da série ISO 9000 é responsável pelos padrões de gerenciamento de qualidade? Qual é o critério usado para essa definição numerológica?

A numeração dos padrões ISO não tem significado real, exceto para identificá-los.

Geralmente eles são numerados em uma ordem progressiva, onde os padrões mais novos têm números mais altos.

Às vezes, alguns comitês técnicos (os comitês que desenvolvem os padrões) reservam uma certa faixa de números para seus padrões e é por isso que os padrões relacionados a determinados assuntos (como a Gestão da Qualidade) podem ter números semelhantes, mesmo que sejam liberados em diferentes estágios.

De qualquer forma, não há significado particular no número escolhido para um padrão ISO.



Conheça os benefícios da Gestão de Riscos – ISO 31000


 

O principal objetivo da Gestão de Riscos ISO 31000 é avaliar as incertezas de forma a tomar a melhor decisão possível.

De certa forma, toda gestão de risco e toda tomada de decisão lida com esta situação, e os seus benefícios dão as melhores decisões, menos surpresa, melhora no planejamento, na performance e na efetividade, além da melhora no relacionamento com as partes interessadas.

Gestão de Risco como processo lógico

A gestão de riscos descreve um processo genérico, sistemático e lógico para qualquer tipo de risco.

Estabelece uma série de princípios básicos que precisam ser satisfeitos para fazer a gestão eficaz dos riscos e para tal, recomenda que as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo de gestão do risco na governança corporativa da organização.

Abaixo, alguns benefícios a serem alcançados através das práticas de gerenciamento de riscos:

  • Aumentar a probabilidade de atingir os objetivos;
  • Encorajar uma gestão proativa;
  • Estar atento para a necessidade de identificar e tratar os riscos através de toda a organização;
  • Melhorar a identificação de oportunidades e ameaças;
  • Atender às normas internacionais e requisitos legais e regulatórios pertinentes;
  • Melhorar o reporte das informações financeiras;
  • Melhorar a governança;
  • Melhorar a confiança das partes interessadas;
  • Estabelecer uma base confiável para a tomada de decisão e o planejamento;
  • Melhorar os controles;
  • Alocar e utilizar eficazmente os recursos para o tratamento de riscos;
  • Melhorar a eficácia e a eficiência operacional;
  • Melhorar o desempenho em saúde e segurança, bem como a proteção do meio ambiente;
  • Melhorar a prevenção de perdas e a gestão de incidentes;
  • Minimizar perdas;
  • Melhorar a aprendizagem organizacional; e
  • Aumentar a resiliência da organização.

É importante ressaltar que a Liderança (governança corporativa) de uma organização é feita pela Alta Direção e pessoal de alto nível em diferentes departamentos e para direcionar a gestão e os trabalhadores para objetivos comuns e comportamentos para que uma política da organização seja estabelecida, comunicadas e implementadas é necessário implementar um sistema de gestão com diferentes ações de controle levando em conta os requisitos legais e regulamentares.

Importante ressaltar que esta norma não é destinada a certificação.Saiba tudo sobre a ISO 31000 acessando o cursoNBR ISO 31000:2009 – GESTÃO DE RISCOS – PRINCÍPIOS E DIRETRIZES

Por Paula Baptista
Consultora de SGI Verde Ghaia


Blog VG