Norma ISO 37001, simplificando seu entendimento

Este artigo tem como objetivo, de uma forma resumida, simplificar o entendimento da norma ISO 37000, a qual direciona as boas práticas para o gerenciamento dos esforços corporativos do combate às práticas de suborno.

Como sabemos atos de corrupção ou como denomina a norma, atos de “Suborno”, ocorrem de forma generalizada em qualquer mercado, sociedade ou setor econômico.

A ocorrência destes atos é muito prejudicial, uma vez que torna as operações mais custosa, prejudica a competição, além do que, quando olhamos para o setor público, é um ato muito nocivo, pois, debilita os esforços para a melhoria do bem estar de uma sociedade, impactando na reputação e confiança das instituições.

Apesar dos esforços, realizados por instituições e governos, com a criação de leis e regulamentos para o combate a corrupção, sabemos que, apesar de serem inciativas excelentes, se não houver o comprometimento das instituições em relação a estes atos, todo este esforço acaba sendo inócuo.

Para que o combate seja uma verdade, é necessário que existam formas de responsabilização pelos atos e também formas de monitoramento do cumprimento destas regulamentações, por parte do governo, sociedade e corporações.

Vamos nos ater, neste artigo, no âmbito corporativo. Sabemos que as organizações precisam ter uma governança corporativa efetiva e pautada pelos valores éticos, de forma a manter sua sustentabilidade e perenidade.

As corporações têm uma responsabilidade muito grande no combate de atos de corrupção, e devem trabalhar proativamente na promoção e criação de uma cultura e um ambiente interno apropriado para este combate, além do que, deve contar com forte comprometimento da alta direção com este quesito.

A norma ISO 37001 vem auxiliar as organizações com a proposta de ser um direcionador das boas práticas para a criação de um sistema de gestão apropriado no combate de atos de suborno, fortalecendo, desta forma, um processo mais global de Integridade e Compliance na organização.

Neste artigo, proponho trabalhar e descrever os principais fatores de direcionamento da norma, que ao meu entender são relevantes, abstendo-me dos detalhes secundários da norma.

Então vamos lá, segundo a norma, suborno pode ser conceituado como:

oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e independente de localização(ões), em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações

Com esta visão, a norma estabelece que a organização deve estabelecer um sistema documentando antissuborno. Este sistema, como qualquer outro em uma empresa, deve ser continuamente avaliado, e aperfeiçoado sempre que necessário, princípio da melhoria contínua.

Este sistema de gestão antissuborno deve conter medidas concebidas para identificar e avaliar o risco, bem como prevenir, detectar e responder ao suborno.

No item 4.5 da norma, diz que a organização deve realizar regularmente o processo de avaliação de riscos de suborno, identificando, analisando e tratando estes riscos. Para uma instituição que já conta com um processo estruturado de gerenciamento de riscos, esta visão já é parte integrante da atividade gerencial, até porque, a estrutura COSO ICF sugere, por meio de seu componente de avaliação de riscos, que a corporação já deve identificar e avaliar os riscos inerentes, os de TI e os de fraude.

Precisamos lembrar que fraude, corrupção ou suborno são riscos como qualquer outro dentro da corporação e devem ser gerenciados de forma apropriada, dentro das melhores práticas de gestão. Até aqui nenhuma novidade.

Por sua vez, a norma estabelece, que a alta direção deve demonstrar comprometimento com os valores éticos da corporação, estabelecendo um programa de integridade e compliance robusto, e deve também, estabelecer uma política de antissuborno.

Esta política, como todas as demais, deve ser disponibilizada de forma que todos, sem exceção, tenham acesso a ela, o diferencial é que está também deve incluir os terceiros, que de alguma forma se relacionam com a empresa.

É recomendável, segundo a norma, que a alta direção estabeleça uma função para a gestão do processo antissuborno, o qual ficará encarregado de supervisionar, aconselhar, orientar todas as questões relativas ao suborno, além de, assegurar que o sistema de gestão antissuborno esteja em conformidade com os requisitos desta política. Minha preocupação quando existe orientação de estabelecimento de novas funções, é que o processo como um todo, possa se tornar antieconômico, então prefiro entender que está função deva ser estabelecida utilizando a estrutura já existente.

Outro item interessante é a menção da norma em relação a delegação, e ela orienta que quando existir delegação de responsabilidade, principalmente em atividades que existam maior vulnerabilidade para ocorrência de atos de suborno, a alta direção deve assegura que estas atividades passem continuamente por uma análise crítica, lembrando, que em processos de delegação, o órgão ou a pessoa que delegou, continua sendo responsável pelas decisões de quem foi delegado, regra clara de hierarquia de responsabilidades.

A norma orienta também a definição de objetivos baseados na política de antissuborno, nas funções e níveis de processo pertinentes, o que é bem interessante, pois, sabemos que a identificação de riscos dos processos operacionais é associada aos seus objetivos, o que facilita a identificação dos riscos e suas causas.

Logicamente, como qualquer outra atividade relacionada com governança e cultura, se não houver uma adequada sensibilização dos colaboradores, não haverá comprometimento e este processo todo não atingirá sua finalidade.

É materialmente importante que a organização realize atividades que sensibilize toda a sua estrutura, além de incluir neste processo, os terceiros. Todos devem reconhecer a importância de considerarem os princípios que fundamentam a política antissuborno em suas atividades e decisões diárias. Isto também não é nenhuma novidade para a corporação, uma vez que é o mesmo esforço que deve ser feito para estar em conformidade com a Lei anticorrupção.

Um dos itens da norma, que me chamou atenção e me parece não ser possível realizar, legalmente falando, é a indicação da necessidade de um due-diligence quando de um processo de contratação, de maneira a certificar que a pessoa que está sendo contratada tem condições de entender e cumprir com a política antissuborno.

A norma diz que o mesmo procedimento deve acontecer quando da realocação interna de pessoas. Deixo este tema para a reflexão de vocês.

Em relação a operacionalização de todo este processo, ele deve ser adequadamente planejado, de maneira que todos os atributos da política, possam fazer parte do dia-a-dia de toda operação.

Deve haver uma análise crítica das vulnerabilidades, entendimento de quais eventos podem trazer riscos de ocorrências de atos de suborno e com base na sua magnitude, estabelecer os controles ou ações mitigatórias. Observem que este é o mesmo processo que utilizamos para o gerenciamento de riscos, sem nenhuma novidade.

Em relação ao monitoramento por meio de controles, ou padrões de medição, a norma orienta que exista padrões financeiros e não financeiros, com o intuito de oferecer uma cobertura mais abrangente de possíveis atos de suborno. Fazendo uma analogia, quando trabalhamos com avaliação de fraude, onde suborno também é parte, identificamos e avaliamos os pontos de vulnerabilidade de uma fraude, não somente pela sua relevância financeira, mas também pelos indicadores (red flags) dos pontos no processo e/ou atividade onde possa existir a possibilidade da fraude ocorrer. Por exemplo: atividades com negociação com terceiros, ativos de fácil vendagem, processos com dados confidenciais, e assim por diante.

Neste processo de operacionalização da política antissuborno, é importante que empresas controladas se utilizem do mesmo padrão de política de antissuborno da controladora.

Para os parceiros de negócio, além da menção no contrato que eles devem obedecer a política antissuborno, sem exceção, deve-se, sempre que possível, requerer ao parceiro que ele também tenha política e processo de controle de antissuborno. Para os parceiros relevantes, poderá até ser aplicado o requisito de um due-diligence, com o objetivo de avaliar o grau de maturidade do parceiro em relação às medidas e proteção de atos de suborno.

Outro ponto que deve estar presente na política de antissuborno é em relação de como a empresa irá lidar em casos relatados de suborno. É necessário que exista diretrizes de como estes casos serão avaliados, investigados e tratados, se realmente for evidenciado o ato.

Dentro deste quesito, pondero ser relevante, que a empresa defina de forma clara quais serão as consequências para aquele profissional que participou do ato, infringindo os valores éticos da organização.

Estas definições devem ser muito transparentes, para que não exista surpresa no tratamento dado a aqueles que por ventura cometam atos antiéticos, como atos de suborno.

A investigação deve ser mantida em confidencialidade, pelo menos até que o caso seja analisado, confirmado e adequadamente evidenciado.

Deve haver, por parte da gestão, um monitoramento contínuo sobre todo este processo, com padrões de desempenho e monitoramento definidos. Também deve haver monitoramento periódico e independente do cumprimento da política e do processo antissuborno por meio dos trabalhos da auditoria interna, a qual deverá incluir estes requisitos em seu escopo de avaliação.

Muito bem, como vocês podem observar, se a empresa contar com um processo de governança baseada nos princípios e valores de integridade, baseada nas melhores práticas de gerenciamento de riscos e controles internos, a adequação aos requisitos da norma será muito simples, pois em tese, a norma não traz nenhuma grande novidade.

Agora se a empresa ainda está com um baixo grau de maturidade em governança, não aplica as melhores práticas de gestão, então, neste caso, o trabalho será mais complexo, pois, haverá uma quebra de paradigma, uma mudança de visão da gestão, que impactará na operação, na cultura e no ambiente da corporação.

O importante, como tudo na vida e também, no mundo corporativo, que todo este processo seja realizado da forma mais simples possível, dentro da complexidade da organização, pois, as coisas simples são mais econômicas e mais fáceis de serem integradas nas rotinas de cada um. Então, no final,

Seja Feliz!