Guia

Como implementar ISO 37301 na sua organização

Guia de implementação de um Sistema de Gestão de Compliance conforme ISO 37301:2021. Contexto regulatório, obrigações de compliance, cultura ética e monitoramento.

ISO 37301 substituiu ISO 19600 como a norma certificável para sistemas de gestão de compliance. Diferente de sua antecessora, ISO 37301 é auditável e exige evidência de que a cultura de compliance permeia toda a organização, não só o departamento jurídico.

Passo a passo

Identificar obrigações de compliance

Mapeie todas as obrigações legais, regulatórias, contratuais e voluntárias que se aplicam à organização. Este registro de obrigações é o insumo fundamental do sistema de gestão de compliance.

Dica do auditor: Inclua não só leis e regulações, mas também compromissos setoriais, códigos de conduta de associações e requisitos contratuais com clientes-chave. Os auditores verificam completitude.

Avaliar riscos de compliance

Para cada obrigação identificada, avalie a probabilidade de descumprimento e seu impacto (sanções, perda reputacional, dano operacional). Priorize os riscos pela combinação de ambos fatores.

Dica do auditor: Revise as sanções regulatórias recentes no seu setor como referência de impacto. Os auditores valorizam avaliações ancoradas em dados reais, não em estimativas genéricas.

Estabelecer a função de compliance com independência real

Designe um responsável de compliance com acesso direto ao órgão de governança. A cláusula 5.3.2 exige que esta função tenha autoridade, independência e recursos suficientes. Um compliance officer sem independência é uma não conformidade certa.

Dica do auditor: Documente a linha de reporte do compliance officer ao conselho e as atas onde intervém. Os auditores buscam evidência de que a independência é real, não nominal.

Implementar formação e comunicação sobre cultura de compliance

Projete um programa de formação diferenciado por função e nível de exposição ao risco. Complemente com comunicações regulares que reforcem o tom ético desde a direção.

Dica do auditor: Meça a eficácia da formação com avaliações práticas, não só presença. Os auditores de ISO 37301 buscam evidência de compreensão, não de exposição.

Monitorar, medir e melhorar o sistema de compliance

Estabeleça indicadores de compliance (relatórios ao canal de denúncias, achados de auditoria, sanções recebidas, formação completada) e revise-os periodicamente. Execute auditorias internas do sistema de compliance e alimente a revisão pela direção.

Dica do auditor: Um sistema de compliance maduro aprende com seus próprios incidentes. Documente as lições aprendidas de cada caso de descumprimento e demonstre ao auditor que o sistema se retroalimenta.

Pontos-chave

ISO 37301 é certificável, diferente de sua antecessora ISO 19600. Os requisitos de evidência são significativamente maiores.
A independência real do compliance officer é o requisito mais escrutado em auditoria.
Um registro de obrigações incompleto invalida toda a avaliação de riscos de compliance.

Perguntas frequentes

ISO 19600 era uma guia não certificável. ISO 37301 é uma norma de requisitos certificável, com cláusulas auditáveis e a estrutura de alto nível do Anexo SL que facilita a integração com outras normas ISO.

Sim, e é altamente recomendável. Ambas compartilham a estrutura do Anexo SL e se complementam: ISO 37001 cobre antissuborno especificamente e ISO 37301 cobre compliance geral. A integração reduz duplicação de controles e documentação.

Comparativo

Pronto para agir sobre esses achados?

Precisa de uma avaliacao nesta area?

Solicitar diagnostico→Ver pesquisas→

Loading content…

Pontos-chave

ISO 37301 é certificável, diferente de sua antecessora ISO 19600. Os requisitos de evidência são significativamente maiores.

A independência real do compliance officer é o requisito mais escrutado em auditoria.

Um registro de obrigações incompleto invalida toda a avaliação de riscos de compliance.

Perguntas frequentes

Como implementar ISO 37301 na sua organização

Passo a passo

Identificar obrigações de compliance

Avaliar riscos de compliance

Estabelecer a função de compliance com independência real

Implementar formação e comunicação sobre cultura de compliance

Monitorar, medir e melhorar o sistema de compliance

Pontos-chave

Perguntas frequentes

ISO 27001 vs NIST CSF: frameworks de cibersegurança comparados

ISO 42001 vs EU AI Act: norma voluntária vs regulação obrigatória

Gestao de riscos

ISO 37001

Shadow AI: uso de inteligência artificial sem governança formal

Auditoria de certificação reprovada: diagnóstico de não conformidades e plano de recuperação

Pronto para agir sobre esses achados?

Como implementar ISO 37301 na sua organização

Passo a passo

Identificar obrigações de compliance

Avaliar riscos de compliance

Estabelecer a função de compliance com independência real

Implementar formação e comunicação sobre cultura de compliance

Monitorar, medir e melhorar o sistema de compliance

Pontos-chave

Perguntas frequentes

ISO 27001 vs NIST CSF: frameworks de cibersegurança comparados

ISO 42001 vs EU AI Act: norma voluntária vs regulação obrigatória

Gestao de riscos

ISO 37001

Shadow AI: uso de inteligência artificial sem governança formal

Auditoria de certificação reprovada: diagnóstico de não conformidades e plano de recuperação

Pronto para agir sobre esses achados?

Como implementar ISO 37301 na sua organização

Passo a passo

Identificar obrigações de compliance

Avaliar riscos de compliance

Estabelecer a função de compliance com independência real

Implementar formação e comunicação sobre cultura de compliance

Monitorar, medir e melhorar o sistema de compliance

Pontos-chave

Perguntas frequentes

Conteudo relacionado

ISO 27001 vs NIST CSF: frameworks de cibersegurança comparados

ISO 42001 vs EU AI Act: norma voluntária vs regulação obrigatória

Gestao de riscos

ISO 37001

Shadow AI: uso de inteligência artificial sem governança formal

Auditoria de certificação reprovada: diagnóstico de não conformidades e plano de recuperação

Pronto para agir sobre esses achados?

Como implementar ISO 37301 na sua organização

Passo a passo

Identificar obrigações de compliance

Avaliar riscos de compliance

Estabelecer a função de compliance com independência real

Implementar formação e comunicação sobre cultura de compliance

Monitorar, medir e melhorar o sistema de compliance

Pontos-chave

Perguntas frequentes

Conteudo relacionado

ISO 27001 vs NIST CSF: frameworks de cibersegurança comparados

ISO 42001 vs EU AI Act: norma voluntária vs regulação obrigatória

Gestao de riscos

ISO 37001

Shadow AI: uso de inteligência artificial sem governança formal

Auditoria de certificação reprovada: diagnóstico de não conformidades e plano de recuperação

Pronto para agir sobre esses achados?