ISO 37301:2021 - Sistema de Gestão de Compliance: o que é, como funciona e por que a certificação transformou o mercado

Existe uma diferença fundamental entre uma empresa que tem um programa de compliance e uma empresa que tem um sistema de gestão de compliance eficaz. A primeira pode ter políticas escritas, um código de ética publicado e até um responsável designado. A segunda consegue provar, com evidências, que seu programa funciona na prática, no dia a dia, sob auditoria.

E exatamente essa diferença que a ABNT NBR ISO 37301:2021 formaliza. A norma, desenvolvida pela ISO e adotada no Brasil pela ABNT, estabelece os requisitos para que organizações de qualquer porte ou setor construam, mantenham e melhorem continuamente um sistema de gestão de compliance certificável.

Este artigo explica o que é a ISO 37301, como ela se estrutura, o que uma empresa precisa fazer para se certificar e por que essa decisão tem implicações muito além do certificado.

O que é a ISO 37301:2021 e qual é sua origem

A ISO 37301:2021 é a principal norma internacional sobre sistemas de gestão de compliance. Publicada pela ISO em 2021 e adotada no Brasil como ABNT NBR ISO 37301:2021, ela substituiu e ampliou a ISO 19600 (que era apenas uma norma de diretrizes, sem requisitos certificáveis).

A mudança é significativa: ao contrário da norma anterior, a ISO 37301 estabelece requisitos, ou seja, critérios objetivos que uma organização deve atender para obter e manter a certificação. Isso a torna auditável por organismos de certificação de terceira parte, conferindo ao certificado peso institucional reconhecido internacionalmente.

A norma foi elaborada pelo Comitê Técnico ISO/TC 309 (Governance of Organizations) e integra a chamada Estrutura de Alto Nível (HLS) da ISO, o mesmo arcabouço que sustenta normas como a ISO 9001 (qualidade), ISO 14001 (meio ambiente) e ISO 37001 (antissuborno). Isso permite que empresas que já possuem outros sistemas de gestão integrem a ISO 37301 com relativa eficiência.

Para quem é esta norma

Um ponto que frequentemente surpreende gestores: a ISO 37301 é aplicável a qualquer tipo de organização, independentemente de porte, setor ou natureza pública, privada ou sem fins lucrativos. A própria norma é explicita nesse ponto.

Na prática, isso significa que tanto uma multinacional quanto uma empresa de médio porte, uma autarquia ou uma associação podem buscar a certificação. O que varia entre organizações de diferentes complexidades não são os requisitos, mas a escala e a sofisticação com que são implementados.

Principio central da norma: As medidas implementadas pela organização devem ser razoáveis e proporcionais a natureza e a extensão dos seus riscos de compliance. Isso garante que a norma seja aplicável sem impor exigências desproporcionais a empresas menores.

A estrutura da norma: as cláusulas que serão auditadas

A ISO 37301 segue a Estrutura de Alto Nível da ISO, organizada em 10 cláusulas. As cláusulas 1 a 3 tratam de escopo, referências normativas e definições. As cláusulas 4 a 10 contém os requisitos auditáveis, aqueles que uma organização deve demonstrar cumprir para obter a certificação:

Cada cláusula contém requisitos normativos (indicados pelo verbo 'deve') e orientações recomendadas (indicadas por 'convém que'). Na auditoria de certificação, o foco recai sobre os requisitos, mas a implementação das orientações geralmente evidência maturidade do sistema.

Os conceitos que fundamentam o sistema

Para construir um sistema alinhado a norma, é essencial compreender com precisão seus conceitos centrais. Três deles merecem atenção especial:

Obrigações de compliance são todos os requisitos que a organização deve ou escolhe cumprir, incluindo leis, regulamentos, decisões judiciais, contratos, códigos setoriais e compromissos voluntários. A norma exige que a organização identifique, documente e monitore sistematicamente essas obrigações.

Riscos de compliance referem-se a probabilidade e as consequências do não atendimento dessas obrigações. A avaliação de riscos é uma das cláusulas mais exigentes da norma, ela deve ser periódica, documentada e orientar a priorização dos controles.

Cultura de compliance é definida como os valores, ética, crenças e condutas que existem em toda a organização e produzem normas comportamentais que sustentam o compliance. É um requisito da cláusula 5, e um dos elementos mais difíceis de demonstrar em auditoria.

O papel insubstituível da liderança

A cláusula 5 é, provavelmente, a mais crítica de toda a norma, e também a mais frequentemente subestimada pelas organizações que tentam implementar o sistema sem orientação técnica.

A ISO 37301 exige que o Órgão Diretivo e a Alta Direção demonstrem comprometimento ativo, visível, consistente e sustentável com o sistema de gestão de compliance. Isso não é uma declaração formal: é uma exigência de evidências. A auditoria busca verificar se a liderança efetivamente apoia, supervisiona e cobra o funcionamento do sistema.

Entre os requisitos específicos da cláusula 5, destacam-se a necessidade de uma Função de Compliance com acesso direto ao Órgão Diretivo, independência operacional e autoridade adequada; e a obrigatoriedade de uma Política de Compliance formalmente aprovada, comunicada e implementada em toda a organização.

A norma é explicita: a função de compliance deve ter independência real, livre de interferências e pressões. Organizações onde o responsável pelo compliance responde diretamente a áreas de negócios expostas à riscos enfrentam dificuldades severas na auditoria de certificação.

Da política aos controles: o que a cláusula 8 exige na prática

A cláusula 8 trata da operação do sistema, e é aqui que muitos programas de compliance existentes revelam suas maiores fragilidades. A norma exige que a organização implemente controles para gerenciar suas obrigações e riscos de compliance, e que esses controles sejam mantidos, revisados periodicamente e testados para verificar sua eficácia contínua.

Além disso, dois elementos operacionais são requisitos não negociáveis: o processo de levantamento de preocupações (canal de denúncias) e o processo de investigação. O canal de denúncias deve ser visivelmente acessível, aceitar relatos anônimos e garantir proteção contra retaliações. O processo de investigação deve ser conduzido de forma independente, sem conflitos de interesse, por pessoal competente.

Na prática, a existência de um canal de denúncias no site da empresa não é suficiente. A norma exige evidências de que o canal funciona, que as denúncias são tratadas e que os resultados das investigações retroalimentam a melhoria do sistema.

Avaliação do desempenho: indicadores, auditoria interna e revisão pela direção

A cláusula 9 exige que a organização estabeleça um conjunto de indicadores para avaliar continuamente o alcance dos objetivos de compliance, tanto indicadores reativos (ocorrências de não compliance, multas, investigações) quanto preditivos (tendências de risco, percentual de treinamento concluído, atualizações de obrigações monitoradas).

A auditoria interna é um requisito obrigatório. Ela deve ser conduzida em intervalos planejados, por pessoal competente e independente das áreas auditadas, e seus resultados devem ser reportados a gestão pertinente, incluindo, quando aplicável, o Órgão Diretivo. A auditoria interna não é apenas uma etapa preparatória para a certificação: é um mecanismo permanente do sistema.

Complementando a auditoria interna, a análise crítica pela direção é outro requisito da cláusula 9. A Alta Direção deve revisar o sistema a intervalos planejados, considerando o desempenho dos indicadores, os resultados de auditorias, as mudanças no contexto e as oportunidades de melhoria. Os resultados dessa análise devem estar documentados.

O caminho para a certificação: etapas e o que esperar

A certificação ISO 37301 é concedida por organismos de certificação acreditados, após um processo de auditoria de terceira parte. O caminho típico percorre as seguintes etapas:

1.     Diagnóstico de aderência: avaliação do estado atual do programa de compliance em relação aos requisitos da norma, com identificação de lacunas e priorização de ações;

2.     Implementação ou adequação do sistema: estruturação das cláusulas 4 a 10, incluindo política, avaliação de riscos, controles, canal de denúncias, indicadores e documentação;

3.     Treinamento e engajamento das equipes: conscientização do pessoal pertinente e capacitação da função de compliance;

4.     Auditoria interna pré-certificação: verificação independente da conformidade do sistema antes da auditoria externa, com identificação e correção de não conformidades;

5.     Auditoria de certificação (etapa 1 com análise documental): o organismo certificador analisa a documentação do sistema;

6.     Auditoria de certificação (etapa 2 com auditoria in loco): verificação da eficácia do sistema na prática, com entrevistas, análise de evidências e testes de controles;

7.     Emissão do certificado: válido por 3 anos, com auditorias de manutenção anuais.

O processo completo, desde o diagnóstico até a emissão do certificado, costuma levar entre 6 e 18 meses, dependendo do porte da organização e do nível de maturidade do programa existente.

Por que a certificação vai além do certificado

Uma certificação ISO 37301 tem impactos que se estendem muito além da credencial emitida. Do ponto de vista jurídico, ela representa uma evidência robusta do comprometimento da organização com o compliance, relevante em processos administrativos, arbitragens e negociações de acordo de leniência, onde a qualidade do programa de integridade é avaliada.

Do ponto de vista comercial, a certificação abre portas em cadeias de fornecimento de grandes empresas e grupos internacionais que exigem certificações de governança de seus parceiros. No mercado financeiro, ela impacta positivamente avaliações de crédito e ratings ESG.

Do ponto de vista organizacional, o processo de implementação em si já gera valor: ao estruturar o sistema conforme os requisitos da norma, a empresa mapeia sistematicamente suas obrigações, identifica riscos que até então não eram formalmente gerenciados e estabelece controles cujo funcionamento passa a ser monitorado e testado regularmente.

A lógica que o mercado já internalizou: uma organização que comprova, por auditoria independente, que seu sistema de compliance funciona na prática, não apenas no papel, é percebida como parceira de menor risco, maior credibilidade e mais sólida governança. Essa percepção tem valor financeiro mensurável.

O erro mais comum nas implementações sem orientação técnica

Organizações que tentam implementar a ISO 37301 sem suporte especializado frequentemente cometem o mesmo erro: confundem a existência de documentos com a eficácia do sistema. Criam políticas detalhadas, mas não as comunicam adequadamente. Estabelecem indicadores, mas não os monitoram. Implantam um canal de denúncias, mas sem processo de investigação estruturado.

O resultado e um sistema que passa na análise documental da auditoria, mas falha na verificação de eficácia, a etapa onde o auditor busca evidências de que o sistema funciona na prática. Não conformidades identificadas nessa fase podem inviabilizar a certificação ou exigir retrabalho significativo.

Do ponto de vista jurídico, há ainda um risco adicional: um sistema formal sem sustentação real pode ser interpretado, em uma investigação ou processo, como agravante, indicativo de que a organização conhecia os riscos, criou estruturas de fachada e não tomou medidas efetivas para mitiga-los.

A relação entre ISO 37301 e outras normas do ecossistema de governança

A ISO 37301 não opera de forma isolada. Ela integra um ecossistema normativo que inclui a ISO 37001 (sistema de gestão antissuborno), a ISO 37002 (sistema de gestão de denúncias) e a ISO 31000 (gestão de riscos), entre outras. A própria norma recomenda que o sistema de gestão de compliance seja implementado de forma integrada com outros sistemas de gestão existentes.

Para empresas que já possuem certificação ISO 9001 ou ISO 14001, a integração é facilitada pela Estrutura de Alto Nível comum. Para empresas que buscam simultaneamente a ISO 37001 e a ISO 37301, há sobreposição relevante de requisitos que pode ser gerenciada de forma eficiente com um sistema integrado.

Nos contextos onde a empresa também busca ou já possui o Selo Pró-Ética da CGU, e importante destacar que a certificação ISO 37301 fortalece substancialmente a preparação para o programa, pois há convergência significativa entre os critérios de avaliação do Pró-Ética e os requisitos da norma.

Conclusão

A ISO 37301:2021 representa uma mudança qualitativa na forma como o mercado avalia programas de compliance. Ela desloca o critério de avaliação do 'a empresa tem um programa?' para 'o programa da empresa funciona e pode ser verificado de forma independente?'.

Para gestores e conselheiros, essa mudança tem uma implicação direta: investir na estruturação de um sistema alinhado aos requisitos da norma não é apenas uma decisão de conformidade. É uma decisão estratégica que reduz riscos jurídicos, fortalece a reputação, amplia o acesso a mercados e entrega uma credencial reconhecida internacionalmente.

O momento de começar é agora. A questão é apenas como sua empresa vai percorrer esse caminho.

Como nosso escritório pode apoiar sua empresa

Oferecemos um pacote completo para empresas que buscam a certificação ISO 37301 ou que desejam estruturar um sistema de gestão de compliance solido e auditável:

Diagnóstico de aderência: avaliamos seu programa atual em relação aos requisitos da norma e entregamos um mapa de lacunas e prioridades.

Consultoria de implementação: apoiamos a estruturação de todas as cláusulas, política, avaliação de riscos, controles, canal de denúncias, indicadores e documentação adequados a realidade e ao setor da sua empresa.

Auditoria interna pré-certificação: conduzimos uma auditoria independente antes da auditoria do organismo certificador, identificando e corrigindo não conformidades com antecedência.