Conformidade significa "aderência às regras" - independentemente do tipo de regra que seja e de quem a fabrica. Em caso de violação, a gestão de topo da empresa é directamente responsável. As organizações devem, portanto, decidir se devem implementar um sistema de gestão de conformidade (CMS) entre empresas para garantir a adesão às regras. Mas não termina aí. Como é que se verifica exactamente a eficácia de um CMS?
Loading...
No que respeita à gestão da conformidade em pequenas e médias empresas (PME), a concepção e aplicação de um sistema de gestão da conformidade (CMS) pode, à primeira vista, parecer ser um encargo económico moroso para qualquer empresa. No entanto, se procurar mais profundamente, encontrará perspectivas interessantes: apoiada pelo órgão de gestão, mas também por uma revisão da adequação e eficácia do CMS por auditores internos e externos, a cultura de conformidade cresce de forma sustentável e abre a oportunidade de aumentar o sucesso empresarial e, por conseguinte, de aumentar o valor da empresa.
Quais são os principais motivos para a criação de um CMS?
A maioria das PMEs vê a prevenção da responsabilidade e a prevenção da corrupção como os motivos mais importantes para a criação de um CMS. Cada vez mais, porém, os requisitos dos parceiros de negócios e a protecção da reputação são também cada vez mais importantes. Corrupção, infracções à lei da concorrência e protecção de dados estão regularmente no topo da lista de questões de conformidade relevantes. Outras questões de topo são as normas laborais e sociais na empresa.
Por outro lado, as PME receiam o ónus adicional para a organização associado ao cumprimento sob a forma da chamada burocracia do cumprimento. Uma abordagem sensata para as PME terá, portanto, de diferir significativamente da das grandes empresas.
Identificar os perigos
Antes de mais, é importante que a empresa esclareça a si própria os seus riscos individuais de conformidade através de uma análise de risco. Só nestas importantes áreas de risco identificadas é que os regulamentos e comportamentos existentes devem então ser revistos e, se necessário, complementados. Por exemplo: as empresas podem primeiro analisar se as sub-áreas críticas da empresa (por exemplo, protecção de dados em recursos humanos) ou tipos individuais de conformidade estão cobertas, por exemplo, o cumprimento de obrigações legais em matéria de saúde e segurança no trabalho. Dito de outra forma: As medidas de conformidade são, em última análise, razoáveis e necessárias se se basearem precisamente nesta avaliação de risco.
Gestão do cumprimento nas PME: Normas relevantes
Publicada em Abril de 2021, a primeira norma a ser mencionada aqui é naturalmente a ISO 37301:2021-04. A norma formula requisitos para sistemas de gestão de conformidade com directrizes de aplicação. A norma está disponível em Beuth. Entretanto, a ISO 19600:2016-12 (Sistemas de gestão de conformidade - Directrizes) foi retirada.
A norma ISO 31000:2018-10 também é interessante do ponto de vista da orientação para o risco. A norma estabelece directrizes para lidar com os riscos enfrentados pelas empresas. A norma está disponível em Beuth.
Auditorias para assegurar a eficácia?
Particularmente tendo em conta o dever de gestão dos representantes legais, deve ser colocada uma auditoria de eficácia contínua ao lado do CMS real. A razão para tal reside na jurisprudência. Neste caso, a direcção tem de cumprir duas tarefas como parte do seu dever de controlo: Por um lado, deve controlar as medidas estabelecidas na empresa para assegurar o seu cumprimento. Por outro lado, deve controlar criticamente a sua eficácia - e fazê-lo regularmente, e não apenas numa base ad hoc. Esta obrigação aplica-se aos membros do conselho de administração das sociedades anónimas, bem como aos directores-gerais das sociedades de responsabilidade limitada.
"A revisão da eficácia do CMS por um terceiro independente é a prova objectiva de que as obrigações de controlo são cumpridas".
A monitorização destina-se a assegurar que os princípios (directrizes comportamentais, políticas, etc.) e medidas (formação, controlos, etc.) do CMS são adequados para prevenir, impedir significativamente, ou detectar atempadamente violações de regras, tal como definido pelo CMS. A eficácia do CMS pode ser verificada através de controlos internos e externos:
- Monitorização da eficácia através de controlos internos: A monitorização que é interna ao sistema é referida como "controlo interno". Este controlo é uma componente essencial de um CMS, que também pode ser referido como gestão da qualidade (QM). A QM inclui, assim, todas as medidas que contribuem para a preparação, acompanhamento e downstream para criar ou manter uma qualidade previamente definida do CMS.
- Monitorização da eficácia através de controlos externos: A monitorização externa ao sistema é referida como "exame" ou "auditoria". Nesta forma de controlo, a entidade de auditoria é independente do sistema e não está envolvida na criação do seu estado real. Há aqui uma vantagem em termos de independência. O CMS é auditado por auditores externos (por exemplo, advogados, auditores, certificadores acreditados, tais como DQS ou outros peritos externos).
Revisões regulares - Bem planeado
Para assegurar a eficácia das revisões independentes do sistema, os intervalos devem ser bem planeados. Uma revisão pode ser útil sempre que um CMS é implementado recentemente. Além disso, as auditorias externas devem ser repetidas regularmente de três em três ou de cinco em cinco anos. As revisões ocasionais são efectuadas após terem sido identificadas violações de conformidade. Contudo, mesmo com um CMS estabelecido, torna-se cada vez mais evidente que as auditorias regulares são consideradas como de facto obrigatórias. Para além dos controlos relacionados com o processo, a concepção, adequação e eficácia dos CMS devem ser regularmente revistos e auditorias ou certificações independentes dos sistemas devem, idealmente, ter lugar uma vez por ano e, pelo menos, de três em três anos.
Vantagens das auditorias de conformidade
Quando se trata de gestão de conformidade nas PMEs, geralmente pode esperar-se um valor acrescentado das auditorias de conformidade como se segue:
- Optimização dos processos existentes
- Percepção de fraquezas no CMS
- Aumentar a eficiência e eficácia do CMS
- Introdução de normas modernas
- Estabelecimento de uma cultura de conformidade
- Aumentar a competitividade
- Segurança para o negócio operacional
- Assegurar o sucesso empresarial sustentável
- Aumentar o valor da empresa
O auditor certo - O critério de decisão mais importante:
As auditorias de eficácia do CMS implicam requisitos multidisciplinares.
Por conseguinte, os conhecimentos profissionais do auditor devem vir em primeiro lugar.
→ Por exemplo, o auditor deve ter conhecimentos jurídicos e empresariais relevantes, bem como experiência na indústria.
→ A independência do auditor deve ser garantida (independência em factos mas também no que diz respeito à independência pública na aparência).
→ Finalmente, é importante que a auditoria tenha uma elevada reputação no mercado.
→ Um exemplo de normas de auditoria e certificação estabelecidas é, por exemplo, a norma de auditoria IDW "Principles of Proper Auditing of Compliance Management Systems" (IDW PS 980).
→ Os resultados das auditorias externas do SGC podem ser utilizados para "certificar" um SGC auditado. O certificado a ser emitido representa prova externa de conformidade com os requisitos definidos para o CMS. Define o período de validade e o âmbito do certificado, o objecto alvo e o procedimento de auditoria (assunto, tipo e âmbito da auditoria), bem como os requisitos de independência e competência do organismo de auditoria ("acreditação").
Loading...
Mais sobre auditorias de conformidade pela DQS
- Análise válida dos riscos de conformidade na sua empresa
- Cumprimento sistemático das normas legais
- Redução efectiva dos riscos de responsabilidade
- Melhoria da imagem corporativa
Conclusão
A gestão de um sistema de gestão de conformidade eficiente e económico também pode ser apoiada e desenvolvida por uma auditoria externa. O auditor apoia a gestão da empresa no estabelecimento e consolidação da cultura de conformidade.
O pré-requisito é a selecção conscienciosa do perito externo. Com possibilidades de comparação superiores, experiência de outras empresas e a sua visão das coisas como um terceiro neutro, ele deve ser capaz de representar um valioso parceiro de discussão. É igualmente importante seleccionar um conjunto adequado de regras como base para auditorias externas.
DQS: Simplesmente a alavancar a Qualidade.
Como certificador internacionalmente reconhecido para sistemas e processos de gestão, o DQS audita mais de 30.000 dias de auditoria por ano. A nossa reclamação começa onde terminam as listas de verificação de auditoria: Leve-nos à nossa palavra! Estamos ansiosos por falar consigo e teremos todo o prazer em mostrar-lhe em que se baseiam o desempenho e a qualidade das nossas auditorias, que são:
- Auditores competentes com integridade e experiência na indústria
- Soluções à medida que são adequadas à sua organização e ao seu sistema de gestão
- Identificação orientada de potenciais fraquezas e riscos
- Resultados objectivos, compreensíveis e ajudas substanciais à tomada de decisões
- Certificados internacionalmente reconhecidos com alta aceitação no mercado
- O acompanhamento dos resultados da auditoria/análise, incluindo a verificação da eficácia das medidas tomadas
- Desenvolvimento individual e criação de catálogos de critérios e sistemas de avaliação
Loading...
Newsletter DQS
Mantenha-se informado e subscreva a nossa newsletter!
Autor
Viola Beecken
Viola Beecken é auditora e consultora fiscal com escritório próprio em Hamburgo, Alemanha, bem como auditora da DQS para a norma de auditoria IDW PS 980 "Principles of proper auditing of compliance management systems". Além disso, esta é activa na área de sistemas de garantia de qualidade para auditores ("Peer Review") e consultores fiscais (ISO 9000:2015).
Loading...