fbpx

Todos os requistos, na ISO 37001, possuem seu grau de importância dentro de um sistema de gestão antissuborno e, se expandido, anticorrupção.

Gostaria, especificamente, de tratar do item 9.1 – Medição, Monitoramento, Análise e Avaliação.

Não vou aqui citar os requistos que estão descritos neste item da Norma.

Gostaria de expor meu conceito a respeito do assunto.

Uma das dificuldades encontradas pelas empresas é definir quais pontos devem ser monitorados e medidos.

Juntamente com auditoria de terceira linha de defesa e auditoria interna do sistema de gestão antissuborno, o processo de medição e monitoramento tem como ideia trazer dados para a Organização de quão eficaz é seu sistema de gestão.

Quando em conversa com meus clientes, focamos em medir e monitorar aqueles riscos de suborno/corrupção apontados como altos ou acima de baixo identificados na matriz de riscos de corrupção e suborno.

Não há uma relação prévia que sirva para toda e qualquer Organização.

O contexto operacional, requisitos de partes interessadas e os riscos acima citados é quem determinarão os pontos de medição de monitoramento.

Tenho visto em muitos casos, nos nossos diagnósticos de gap ou nas auditorias internas contratadas pelas empresas, que as escolhas dos pontos de medição desconsideram os riscos apontados na matriz de risco.

Esta situação, para mim, faz com que esse requisitos da ISO 37001 perca parte de sua função.

Penso que um sistema de gestão antissuborno, anticorrupção e de integridade eficaz é aquele que consegue identificar falhas de controle em riscos acima de baixo e que possuem a capacidade de fazer uma análise de causa adequada e implementar ações corretivas eficazes.

Focar no controle de riscos acima de baixo identificados é o caminho a ser seguido.

A ISO 37001 no seu Anexo A – Orientações para Utilização deste Documento, cita em sua seção A.19 alguns exemplos de medição e monitoramento.

Porém insisto que a Organização deve olhar seus riscos de suborno acima de baixo e focar no monitoramento das suas medidas de controle.

Uma discussão sempre surge quando das nossas consultorias: quais áreas e quais cargos devem estar envolvidos?

Não vejo, neste requisito, que as medições e monitoramentos devam ser centralizados unicamente na área de Compliance.

Importante lembrar que a responsabilidade pela implantação e manutenção das medidas de controle de riscos de suborno/corrupção é da primeira linha de defesa, portanto gestores e líderes de área e, por consequência de seus liderados.

Assim, as áreas consideradas como “risk owner” devem ter, também, a responsabilidade pelo monitoramento dos controles de risco.

Aqui não é a “raposa tomando conta do galinheiro”, mas sim a designação de responsabilidade a quem cabe.

As áreas de Compliance e Controles Internos, distintas e independentes organizacionalmente entre si, também atuam neste monitoramento.

Busca-se eficiência e eficácia em um sistema de gestão antissuborno, anticorrupção e de integridade.

Medir, monitorar e avaliar o desempenho do sistema estabelecido é fator
fundamental para trazer à Organização as informações para que possa ter controle sobre sobres seus principais riscos e implementar medidas de correção adequadas.

Leave a Reply