A pesquisa da DNV revelou que as empresas estão mais preocupadas com conformidade, reputação e riscos éticos. Cumprir requisitos legais encabeça a lista (78%) das razões para aplicar medidas antissuborno. Não há dúvida de que aplicar as melhores práticas aceitas, como as normas ISO, pode facilitar a conformidade regulatória e também melhorar a capacidade de gerenciar outros riscos. No entanto, a adoção da norma do sistema de gerenciamento antissuborno foi inicialmente lenta, mas parece estar se acelerando. Em 2018, apenas 389 organizações foram certificadas pela ISO 37001 e, embora esse número tenha chegado a 2.896 em 2021, ainda é minúsculo quando comparado aos mais de 1 milhão de organizações certificadas globalmente pela ISO 9001, a norma de sistemas de gestão da qualidade, por exemplo.
Benefícios de uma abordagem proativa
Muitas empresas iniciam uma jornada estruturada e talvez a certificação da ISO 37001 após um incidente – muitas vezes resultando em pesadas perdas financeiras e multas – dentro de sua organização. Isso parece indicar que a maioria das empresas teria se beneficiado de uma abordagem proativa em vez de reativa.
A ISO 37001 fornece requisitos e orientações para qualquer organização estabelecer, implementar, revisar e melhorar um sistema de gestão antissuborno. Os requisitos foram elaborados para ajudar a prevenir, detectar e responder ao suborno, bem como cumprir as leis antissuborno e os compromissos voluntários. A certificação ISO 37001 garante às partes interessadas, interna e externamente, que medidas eficazes antissuborno estão em vigor, mantidas e continuamente aprimoradas.
Embora a ISO 37001 cubra principalmente o suborno, outros aspectos, como fraude ou lavagem de dinheiro, podem ser incluídos no escopo do sistema de gestão de acordo com a legislação e as melhores práticas relevantes.
Estabelecer um sistema de gerenciamento de reclamações ISO 37001 certamente ajudará a construir uma melhor compreensão dos riscos tanto internamente quanto em toda a cadeia de suprimentos. Mais importante ainda, permite uma abordagem proativa em vez de reativa para o problema. Na maioria das vezes, os perpetradores mostram bandeiras vermelhas comportamentais. Um sistema de gestão que abranja o treinamento de conscientização e os mecanismos de denúncia provavelmente melhorará a capacidade de qualquer organização de prevenir ou descobrir problemas a serem gerenciados.
O que as empresas certificadas pela ISO 37001 estão descobrindo?
Mergulhar nos dados de todas as auditorias do sistema de gestão antissuborno realizadas pela DNV em 2022 fornece uma visão única das áreas nas quais as empresas certificadas pela ISO 37001 encontram mais desafios. No entanto, saber onde estão seus riscos permite medidas de melhoria eficazes.
As áreas da norma que mais preocupam as empresas são Capítulo 7 Suporte e Capítulo 8 Operações, onde 83% e 88%, respectivamente, recebem conclusões. Para cerca de 50% e 62% respectivamente das empresas trata-se de não conformidades, o que significa que ações corretivas devem ser implementadas para estar totalmente em conformidade com os requisitos da ISO 37001.
Capítulo 4 Contexto da organização e Capítulo 5 Liderança também parecem estar causando problemas com resultados de 76% (32% com não conformidades) e 71% (34% com não conformidades) respectivamente
Deve-se observar que esses quatro capítulos, juntamente com a avaliação de desempenho do Capítulo 9, contêm um nível muito mais alto de requisitos obrigatórios do que os outros capítulos da norma. No entanto, o alto número de não conformidades nesses capítulos é quase certamente atribuível ao nível de maturidade. Isso deve melhorar à medida que as organizações melhoram seus sistemas de gerenciamento e implementação.
Aprofundando-se nas subcláusulas da norma, analisando as constatações e não conformidades mais comuns, fica claro que due diligence, avaliação de riscos e controles devem ser mais bem tratados na maioria das empresas.
A maior concentração de descobertas no Capítulo 8 Operação deriva do fato de que este capítulo se aplica a todos os processos da organização. Como exemplo, inclui a condução de due diligence que se aplica a pessoas, parceiros de negócios, atividades, projetos, transações e transações extraordinárias, como fusões e aquisições. É comum que due diligence antissuborno seja confundida com outras atividades de due diligence já em uso na organização, mesmo que os processos sejam diferentes e separados.
O alto número de questões no Capítulo 4 Contexto da organização demonstra falta de documentação no sistema e no Capítulo 5 Liderança o baixo comprometimento da equipe de gestão ou tratamento incorreto de conflitos de interesse. O Capítulo 7 Apoio contém requisitos aplicáveis aos recursos humanos em termos de gestão do processo de seleção, recrutamento de pessoal, comunicação interna, gestão das políticas de remuneração e incentivos e formação anti-suborno. As conclusões da avaliação de desempenho do Capítulo 9 referem-se ao monitoramento insatisfatório do sistema de gestão antissuborno, que é essencial acertar para melhorar.
Embora existam áreas centrais onde as empresas certificadas podem e devem melhorar, o benefício dessas empresas é que elas estão cientes de seus riscos e onde concentrar esforços de melhoria. No entanto, as empresas satisfeitas apenas com a implementação de uma política antissuborno, como a pesquisa da DNV mostrou ser o caso de muitas, têm pouco controle de seus riscos ou meios para descobrir e gerenciar um incidente caso ele ocorra.