ISO 37001 — Sistema de gestão antissuborno na prática

A Lei Anticorrupção (Lei nº 12.846/2013) responsabiliza empresas por atos de corrupção contra a administração pública — independentemente de culpa. Ter um programa de integridade estruturado é um atenuante previsto na própria lei. E a ISO 37001 é a norma internacional que define como montar esse programa.

O que é a ISO 37001

A ISO 37001 é uma norma que especifica os requisitos para um Sistema de Gestão Antissuborno (SGAS). Publicada em 2016, ela fornece um framework para prevenir, detectar e tratar práticas de suborno — tanto o oferecido quanto o recebido, direto ou por intermediários.

A norma se aplica a qualquer organização, de qualquer porte ou setor. Mas é especialmente relevante para empresas que:

• Contratam com órgãos públicos;
• Operam em setores regulados;
• Atuam em mercados com alto risco de corrupção;
• Precisam demonstrar integridade para parceiros e investidores.

A ISO 37001 não garante que a organização estará livre de suborno — nenhum sistema consegue isso. Mas demonstra que existem controles razoáveis e proporcionais para prevenir e detectar essas práticas.

Por que implementar

• Atenuante legal — a Lei Anticorrupção prevê que a existência de mecanismos de integridade pode reduzir sanções. O Decreto nº 11.129/2022 detalha os parâmetros de avaliação desses programas;
• Exigência em licitações — estados e municípios têm exigido programas de integridade como requisito em contratações públicas. A tendência é de ampliação;
• Proteção da organização — controles antissuborno reduzem o risco de a organização ser envolvida em esquemas de corrupção por ação de colaboradores, fornecedores ou intermediários;
• Credibilidade — certificação por organismo independente demonstra compromisso verificável com a integridade;
• Cultura organizacional — o processo de implementação envolve toda a organização e contribui para criar uma cultura de ética e transparência.

Estrutura da norma

A ISO 37001 segue a estrutura de alto nível (HLS) das normas ISO, com as mesmas cláusulas 4 a 10. Mas adiciona requisitos específicos para o contexto antissuborno:

Avaliação de risco de suborno

A organização precisa identificar e avaliar os riscos de suborno considerando fatores como:

• Países e regiões de atuação;
• Setores e tipo de atividade;
• Natureza das transações (contratos públicos, licenças, autorizações);
• Parceiros de negócios, intermediários e fornecedores;
• Nível de interação com agentes públicos.

A avaliação deve ser documentada, revisada periodicamente e servir de base para definir os controles proporcionais ao risco.

Função de compliance antissuborno

A norma exige a designação de uma pessoa ou departamento responsável pela operação do SGAS. Essa função precisa ter autonomia, acesso à alta direção e recursos adequados. Não pode ser subordinada a interesses que possam gerar conflito.

Due diligence

Antes de iniciar ou continuar relações com parceiros de negócios, a organização deve realizar due diligence proporcional ao risco. Isso inclui verificar o histórico, a reputação e a estrutura de integridade de fornecedores, intermediários, agentes e parceiros comerciais.

Controles financeiros e não financeiros

• Segregação de funções em transações de risco;
• Políticas de presentes, hospitalidade, doações e patrocínios;
• Limites de alçada e aprovação;
• Controle de pagamentos a intermediários e agentes;
• Proibição de pagamentos de facilitação.

Canal de denúncia

A organização deve manter um canal para que colaboradores e terceiros possam reportar suspeitas de suborno de forma confidencial e sem retaliação. As denúncias devem ser investigadas e tratadas.

Treinamento e conscientização

Todos os colaboradores precisam receber treinamento sobre a política antissuborno e os procedimentos relevantes. O treinamento deve ser proporcional ao nível de exposição ao risco — quem lida diretamente com agentes públicos ou fornecedores precisa de capacitação mais detalhada.

Como implementar

1. Obtenha o comprometimento da alta direção — sem isso, o sistema não funciona. A liderança precisa aprovar a política, alocar recursos e demonstrar que o tema é prioridade;

2. Avalie os riscos de suborno — mapeie onde estão os riscos na operação da organização. Considere processos, transações, parceiros e regiões;

3. Defina a política antissuborno — deve ser clara, comunicada a todos e proibir explicitamente o suborno em qualquer forma;

4. Designe a função de compliance — atribua responsabilidade, autonomia e recursos;

5. Implemente controles — due diligence, controles financeiros, políticas de presentes e hospitalidade, gestão de intermediários;

6. Crie o canal de denúncia — acessível, confidencial e com procedimentos de investigação definidos;

7. Treine a equipe — conscientização geral para todos, treinamento específico para funções de risco;

8. Monitore e audite — auditoria interna do SGAS, análise crítica pela direção e melhoria contínua.

Relação com a Lei Anticorrupção

O Decreto nº 11.129/2022 lista os parâmetros para avaliar programas de integridade no contexto da Lei Anticorrupção. A maioria se alinha diretamente com os requisitos da ISO 37001:

• Comprometimento da alta direção;
• Análise de riscos;
• Código de ética e políticas de integridade;
• Controles internos;
• Treinamento;
• Canal de denúncia;
• Due diligence de terceiros;
• Monitoramento contínuo.

Implementar a ISO 37001 não é a única forma de atender à lei, mas é a forma mais estruturada e verificável de fazê-lo.

Próximos passos

A gestão antissuborno se integra naturalmente com o compliance (ISO 37301) e com a gestão da qualidade (ISO 9001). O SIG Virtual permite gerir o SGAS integrado aos demais sistemas de gestão, com módulos para avaliação de riscos, due diligence, canal de denúncia e controles de conformidade.

Faça o teste gratuito e veja como estruturar a gestão antissuborno da sua organização. Confira nossos planos e preços ou entre em contato.