compliance-header-blog-säulen gerichtsgebäude

Gestão de compliance nas PME - Necessária ou Opcional?

Viola Beecken

auditora DQS
mar. 31 , 2022

Compliance significa "aderência às regras" - independentemente do tipo de regra que seja e de quem a fabrica. Em caso de violação, a alta gestão da empresa é diretamente responsável. As organizações devem, portanto, decidir se devem implementar um sistema de gestão de compliance (CMS) entre empresas para garantir a adesão às regras. Mas não termina aí. Como é que se verifica exatamente a eficácia de um CMS?

Conteúdo

No que respeita à gestão da compliance em pequenas e médias empresas (PME), a concepção e aplicação de um sistema de gestão da compliance (CMS) pode, à primeira vista, parecer ser um encargo econômico moroso para qualquer empresa. No entanto, se procurar mais profundamente, encontrará perspectivas interessantes: apoiada pelo órgão de gestão, mas também por uma revisão da adequação e eficácia do CMS por auditores internos e externos, a cultura de compliance cresce de forma sustentável e abre a oportunidade de aumentar o sucesso empresarial e, por conseguinte, de aumentar o valor da empresa.

 

Quais são os principais motivos para a criação de um CMS?

A maioria das PMEs vê a prevenção da responsabilidade e a prevenção da corrupção como os motivos mais importantes para a criação de um CMS. Cada vez mais, porém, os requisitos dos parceiros de negócios e a proteção da reputação são também cada vez mais importantes. Corrupção, infrações à lei da concorrência e proteção de dados estão regularmente no topo da lista de questões de compliance relevantes. Outras questões de topo são as normas laborais e sociais na empresa.

Por outro lado, as PME receiam o ónus adicional para a organização associado ao cumprimento sob a forma da chamada burocracia do cumprimento. Uma abordagem sensata para as PME terá, portanto, de diferir significativamente da das grandes empresas.

 

Identificar os perigos

Antes de mais, é importante que a empresa esclareça a si própria os seus riscos individuais de compliance através de uma análise de risco. Só nestas importantes áreas de risco identificadas é que os regulamentos e comportamentos existentes devem então ser revistos e, se necessário, complementados. Por exemplo: as empresas podem primeiro analisar se as sub-áreas críticas da empresa (por exemplo, proteção de dados em recursos humanos) ou tipos individuais de compliance estão cobertas, por exemplo, o cumprimento de obrigações legais em matéria de saúde e segurança ocupacional. Dito de outra forma: As medidas de compliance são, em última análise, razoáveis e necessárias se se basearem precisamente nesta avaliação de risco.

 

Gestão do cumprimento nas PME: Normas relevantes

Publicada em Abril de 2021, a primeira norma a ser mencionada aqui é naturalmente a ISO 37301:2021-04. A norma formula requisitos para sistemas de gestão de compliance com diretrizes de aplicação. A norma está disponível em Beuth. Entretanto, a ISO 19600:2016-12 (Sistemas de gestão de compliance - Diretrizes) foi retirada.

A norma ISO 31000:2018-10 também é interessante do ponto de vista da orientação para o risco. A norma estabelece diretrizes para lidar com os riscos enfrentados pelas empresas. A norma está disponível em Beuth.

 

Auditorias para assegurar a eficácia?

Particularmente tendo em conta o dever de gestão dos representantes legais, deve ser colocada uma auditoria de eficácia contínua ao lado do CMS real. A razão para tal reside na jurisprudência. Neste caso, a direção tem de cumprir duas tarefas como parte do seu dever de controle: Por um lado, deve controlar as medidas estabelecidas na empresa para assegurar o seu cumprimento. Por outro lado, deve controlar criticamente a sua eficácia - e fazê-lo regularmente, e não apenas numa base ad hoc. Esta obrigação aplica-se aos membros do comitê de administração das sociedades anônimas, bem como aos diretores-gerais das sociedades de responsabilidade limitada.

"A revisão da eficácia do CMS por um terceiro independente é a prova objetiva de que as obrigações de controle são cumpridas".

A monitorização destina-se a assegurar que os princípios (diretrizes comportamentais, políticas, etc.) e medidas (formação, controlos, etc.) do CMS são adequados para prevenir, impedir significativamente, ou detectar antecipadamente violações de regras, tal como definido pelo CMS. A eficácia do CMS pode ser verificada através de controles internos e externos:

  • Monitoramento da eficácia através de controles internos: O monitoramento que é interna ao sistema é referida como "controle interno". Este controle é um componente essencial de um CMS, que também pode ser referido como gestão da qualidade (QM). A QM inclui, assim, todas as medidas que contribuem para a preparação, acompanhamento e downstream para criar ou manter uma qualidade previamente definida do CMS.
  • Monitoramento da eficácia através de controlos externos: O monitoramento externo ao sistema é referida como "exame" ou "auditoria". Nesta forma de controle, a entidade de auditoria é independente do sistema e não está envolvida na criação do seu estado real. Há aqui uma vantagem em termos de independência. O CMS é auditado por auditores externos (por exemplo, advogados, auditores, certificadores acreditados, tais como a DQS ou outros especialistas externos).

White Paper

ISO 45001 - Saúde e segurança ocupacional e compliance

  • Quatro diferenças importantes entre BS OHSAS e ISO 45001
  • Conformidade focada em tópicos relevantes para OHS
  • O que fazer em caso de descumprimento?
  • Sete passos para implementar a ISO 45001
Download

Revisões regulares - Bem planejado

Para assegurar a eficácia das revisões independentes do sistema, os intervalos devem ser bem planejados. Uma revisão pode ser útil sempre que um CMS é implementado recentemente. Além disso, as auditorias externas devem ser repetidas regularmente de três em três ou de cinco em cinco anos. As revisões ocasionais são efetuadas após a identificação de violações de compliance. Contudo, mesmo com um CMS estabelecido, torna-se cada vez mais evidente que as auditorias regulares são consideradas como de fato obrigatórias. Para além dos controles relacionados com o processo, a concepção, adequação e eficácia dos CMS devem ser regularmente revistos e auditorias ou certificações independentes dos sistemas devem, idealmente, ter lugar uma vez por ano e, pelo menos, de três em três anos.

 

Vantagens das auditorias de compliance

Quando se trata de gestão de compliance nas PMEs, geralmente pode esperar-se um valor agregado das auditorias de conformidade como se segue:

  • Otimização dos processos existentes
  • Percepção de fraquezas no CMS
  • Aumentar a eficiência e eficácia do CMS
  • Introdução de normas modernas
  • Estabelecimento de uma cultura de compliance
  • Aumentar a competitividade
  • Segurança para o negócio operacional
  • Assegurar o sucesso empresarial sustentável
  • Aumentar o valor da empresa

O auditor certo - O critério de decisão mais importante:

 

As auditorias de eficácia do CMS implicam requisitos multidisciplinares.
Por conseguinte, os conhecimentos profissionais do auditor devem vir em primeiro lugar.

→ Por exemplo, o auditor deve ter conhecimentos jurídicos e empresariais relevantes, bem como experiência na indústria.

→ A independência do auditor deve ser garantida (independência em fatos mas também no que diz respeito à independência pública na aparência).

→ Finalmente, é importante que a auditoria tenha uma elevada reputação no mercado.

→ Um exemplo de normas de auditoria e certificação estabelecidas é, por exemplo, a norma de auditoria IDW "Principles of Proper Auditing of Compliance Management Systems" (IDW PS 980).

→ Os resultados das auditorias externas do SGC podem ser utilizados para "certificar" um SGC auditado. O certificado a ser emitido representa prova externa de conformidade com os requisitos definidos para o CMS. Define o período de validade e o âmbito do certificado, o objeto alvo e o procedimento de auditoria (assunto, tipo e âmbito da auditoria), bem como os requisitos de independência e competência do organismo de auditoria ("acreditação").

baretton-gerber-2-dqs

Mais sobre auditorias de compliance pela DQS

  • Análise válida dos riscos de compliance na sua empresa
  • Cumprimento sistemático das normas legais
  • Redução efetiva dos riscos de responsabilidade
  • Melhoria da imagem corporativa
Informe-se agora

Conclusão

A gestão de um sistema de gestão de compliance eficiente e econômico também pode ser apoiada e desenvolvida por uma auditoria externa. O auditor apoia a gestão da empresa no estabelecimento e consolidação da cultura de compliance.

O pré-requisito é a seleção conscienciosa do especialista externo. Com possibilidades de comparação superiores, experiência de outras empresas e a sua visão das coisas como um terceiro neutro, ele deve ser capaz de representar um valioso parceiro de discussão. É igualmente importante selecionar um conjunto adequado de regras como base para auditorias externas.

 

DQS: Simply leveraging Quality.

Como certificador internacionalmente reconhecido para sistemas e processos de gestão, a DQS audita mais de 30.000 dias de auditoria por ano. A nossa expertise começa onde terminam as listas de verificação de auditoria: Conte conosco! Estamos ansiosos por falar com você e teremos todo o prazer em mostrar-lhe em que se baseiam o desempenho e a qualidade das nossas auditorias, que são:

  • Auditores competentes com integridade e experiência na indústria
  • Soluções à medida que são adequadas à sua organização e ao seu sistema de gestão
  • Identificação orientada de potenciais fraquezas e riscos
  • Resultados objetivos, compreensíveis e ajudas substanciais à tomada de decisões
  • Certificados internacionalmente reconhecidos com alta aceitação no mercado
  • O acompanhamento dos resultados da auditoria/análise, incluindo a verificação da eficácia das medidas tomadas
  • Desenvolvimento individual e criação de catálogos de critérios e sistemas de avaliação
fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Você tem alguma pergunta?

Contate-nos - sem compromisso e sem custos.

 

Estamos ansiosos para falar com você
Autor
Viola Beecken

Viola Beecken é auditora e consultora fiscal com escritório próprio em Hamburgo, Alemanha, bem como auditora da DQS para a norma de auditoria IDW PS 980 "Principles of proper auditing of compliance management systems". Além disso, ela é ativa na área de sistemas de garantia de qualidade para auditores ("Peer Review") e consultores fiscais (ISO 9000:2015).

Alguma pergunta?

Estamos aqui para você
Contate-nos