Auditoria ISO 37001 — Sistema de Gestao Antissuborno
Avaliacao de controles antissuborno e cultura de integridade organizacional.
A ISO 37001:2016 nao e apenas um exercicio de conformidade regulatoria — e um mecanismo de defesa legal. Em jurisdicoes que reconhecem a norma, demonstrar um sistema antissuborno em operacao e auditado pode constituir um atenuante em processos judiciais. O que a maioria das organizacoes nao compreende e que a norma exige proporcionalidade: os controles devem ser escalonados de acordo com o nivel de risco de suborno identificado em cada relacao comercial, regiao geografica e setor de atividade. O achado mais frequente em auditorias antissuborno e a due diligence generica — onde se aplica o mesmo nivel de verificacao a um fornecedor local de baixo risco e a um intermediario em uma jurisdicao de alto risco. Um sistema antissuborno auditavel requer evidencia de que os controles se adaptam ao contexto de risco real, nao ao tamanho do contrato.
Entregaveis
Avaliacao de risco de suborno
Mapeamento de riscos de corrupcao por area, processo e relacao com terceiros.
Auditoria de controles
Verificacao de due diligence, canais de denuncia e politicas de presente.
Relatorio de eficacia
Achados, recomendacoes e benchmark contra melhores praticas regionais.
Fluxo de Intervenção
Diagnostico de risco
Avaliacao de contexto, partes interessadas e exposicao ao suborno.
Auditoria de campo
Entrevistas, revisao de registros e testes de controles.
Relatorio executivo
Achados classificados por criticidade com plano de acao.
Consultas Técnicas
Nao. A ISO 37001 aplica-se a qualquer organizacao — publica, privada, ONG ou mista — que tenha exposicao ao risco de suborno. No setor privado, organizacoes com operacoes em multiplas jurisdicoes, relacoes com entidades governamentais ou cadeias de suprimentos complexas tem um perfil de risco que justifica a adocao. Alem disso, legislacoes como a FCPA (EUA) e a UK Bribery Act reconhecem implicitamente a norma como evidencia de diligencia devida. Um sistema certificado pode ser a diferenca entre uma multa milionaria e uma defesa legal documentada.
Um codigo de etica e um documento de intencao; a ISO 37001 exige um sistema auditavel com controles operacionais. A diferenca e mensuravel: o codigo diz 'nao aceitamos suborno'; a norma exige evidencia de que existe um processo de due diligence documentado para cada terceiro de risco, que o canal de denuncia esta ativo e acessivel, que a alta direcao revisa periodicamente os riscos de suborno e que existem consequencias reais documentadas ante descumprimentos. Sem essa evidencia, o codigo e declarativo mas nao auditavel.
Fernando Arrieta oferece servicos de avaliacao, diagnostico e orientacao metodologica para sistemas de gestao. Estas atividades sao independentes do processo de certificacao, que e realizado exclusivamente por organismos de certificacao acreditados.