Como integrar ISO 37301 no seu sistema

Empresas com ISO 14001 ou ISO 9001 frequentemente me perguntam: vale a pena adicionar a ISO 37301 (compliance) ao nosso sistema integrado? A resposta curta: sim, e é mais fácil do que parece.

Sistemas já certificados em outras normas ISO têm 60-70% do trabalho feito. A razão: Annex SL — a estrutura de alto nível que padroniza TODAS as normas ISO de sistemas de gestão desde 2012.

Este artigo mostra exatamente como integrar a ISO 37301 ao seu sistema existente, aproveitando o que você já tem e adicionando apenas os requisitos específicos de compliance.

O que é ISO 37301

A ISO 37301:2021 estabelece requisitos para Sistemas de Gestão de Compliance. Ela substituiu a ISO 19600:2014 (que era diretriz, não certificável) e agora permite certificação formal.

Compliance = conformidade com obrigações (leis, normas, políticas internas, contratos, códigos de ética). A ISO 37301 sistematiza o processo de identificar, avaliar, tratar e monitorar obrigações de compliance.

Diferenças práticas entre ISO 19600 e ISO 37301:

• ISO 19600 (2014): Diretriz, não certificável. Implementação voluntária sem auditoria externa obrigatória.
• ISO 37301 (2021): Norma certificável. Requisitos auditáveis por organismo acreditado. Estrutura Annex SL (compatível com ISO 9001, 14001, 45001, 27001).

Benefícios da integração ISO 37301 com outros sistemas:

• Redução de duplicidade: Uma análise de contexto serve para todas as normas. Uma análise crítica pela direção cobre todos os sistemas.
• Otimização de recursos: Uma auditoria integrada custa 30-40% menos que auditorias separadas.
• Visão holística de riscos: Riscos ambientais (ISO 14001), de qualidade (ISO 9001) e de compliance (ISO 37301) gerenciados em conjunto.
• Conformidade legal centralizada: ISO 37301 exige identificação de obrigações legais — o que já é requisito da ISO 14001 (cláusula 6.1.3). Unificar o processo elimina redundância.

Annex SL — a estrutura comum

Desde 2012, a ISO adota o Annex SL (também chamado de HLS — High Level Structure) para todas as normas de sistemas de gestão. Resultado: ISO 9001, 14001, 45001, 27001, 37301, 50001 e outras têm a MESMA estrutura de 10 cláusulas.

As 10 cláusulas comuns (4 a 10 são auditáveis):

1. Escopo
2. Referências normativas
3. Termos e definições
4. Contexto da organização
5. Liderança
6. Planejamento
7. Apoio
8. Operação
9. Avaliação de desempenho
10. Melhoria

O que muda entre as normas são os requisitos específicos dentro de cada cláusula. Exemplo:

• ISO 14001 (Cláusula 6.1.2): Aspectos ambientais
• ISO 9001 (Cláusula 8.2): Requisitos para produtos e serviços
• ISO 37301 (Cláusula 8.2): Obrigações de compliance

Mas a ESTRUTURA (contexto → liderança → planejamento → apoio → operação → avaliação → melhoria) é idêntica.

Mapeamento: o que você já tem vs o que precisa adicionar

Cláusula 4 — Contexto da organização

Você já tem (ISO 14001/9001):

• Análise de questões externas e internas
• Identificação de partes interessadas e suas necessidades
• Definição de escopo do sistema de gestão

Precisa adicionar (ISO 37301):

• Questões específicas de compliance (mudanças regulatórias, expectativas éticas do setor)
• Partes interessadas com expectativas de compliance (reguladores, clientes, acionistas)
• Escopo que abranja TODAS as obrigações de compliance (não apenas ambientais ou de qualidade)

Cláusula 5 — Liderança

Você já tem:

• Comprometimento da Alta Direção
• Política (Ambiental, da Qualidade)
• Responsabilidades e autoridades definidas

Precisa adicionar:

• Função de compliance (ISO 37301, cláusula 5.3.2): Pessoa ou grupo com independência, autoridade e acesso direto à Alta Direção para tratar questões de compliance. NÃO pode estar subordinada a quem ela fiscaliza.
• Política de Compliance: Pode ser integrada à Política de Gestão Integrada ou separada. Deve cobrir compromisso com conformidade legal, ética e contratual.

Cláusula 6 — Planejamento

Você já tem:

• Avaliação de riscos e oportunidades
• Identificação de obrigações legais (ISO 14001, 6.1.3)
• Objetivos e planos de ação

Precisa adicionar:

• Avaliação de obrigações de compliance (ISO 37301, 6.1.2): Não apenas ambientais, mas TODAS (trabalhistas, tributárias, contratuais, éticas, setoriais). Exemplo: LGPD, Lei Anticorrupção, normas do Banco Central, códigos de ética profissional.
• Avaliação de riscos de compliance (ISO 37301, 6.1.3): Probabilidade e consequência de descumprimento. Pode ser integrada à matriz de riscos existente, criando uma nova categoria "Riscos de Compliance".

Cláusula 7 — Apoio

Você já tem:

• Alocação de recursos
• Competência e conscientização
• Comunicação interna e externa
• Controle de documentos e informação documentada

Precisa adicionar:

• Treinamento específico de compliance (ISO 37301, 7.2): Não basta conscientização ambiental. Precisa incluir ética, anticorrupção, conflitos de interesse, proteção de dados, etc.
• Canal de denúncias (ISO 37301, 7.4.3): Mecanismo para relatar violações reais ou suspeitas, com garantia de confidencialidade e proteção contra retaliação. Pode ser terceirizado.

Cláusula 8 — Operação

Você já tem:

• Controle operacional (processos críticos documentados)
• Gestão de mudanças

Precisa adicionar:

• Controles de compliance específicos (ISO 37301, 8.4): Procedimentos para garantir conformidade em áreas críticas. Exemplos: due diligence de parceiros de negócio, aprovação de contratos por jurídico, verificação de certidões negativas de fornecedores.
• Investigação de não-conformidades de compliance (ISO 37301, 8.7): Processo formal para investigar violações, determinar responsabilidades e aplicar sanções.

Cláusula 9 — Avaliação de desempenho

Você já tem:

• Monitoramento e medição
• Avaliação de atendimento legal
• Auditoria interna
• Análise crítica pela direção

Precisa adicionar:

• Indicadores de desempenho de compliance (ISO 37301, 9.1.1): Exemplos: número de não-conformidades legais, tempo médio de resolução de denúncias, percentual de contratos revisados por jurídico antes da assinatura, número de horas de treinamento em compliance por funcionário.
• Auditoria interna de compliance: Pode ser integrada à auditoria interna existente, adicionando checklist de compliance aos procedimentos de auditoria.

Cláusula 10 — Melhoria

Você já tem:

• Tratamento de não-conformidades e ações corretivas
• Melhoria contínua

Precisa adicionar:

• Processo específico para violações de compliance: ISO 37301 exige que violações sejam tratadas com formalidade maior (investigação, determinação de responsabilidades, sanções, comunicação às partes interessadas quando aplicável).

Passo a passo da integração

Fase 1 — Diagnóstico de gap (1-2 meses)

1. Mapear sistema atual: Listar documentos, procedimentos, registros do sistema existente (ISO 14001, 9001 ou outro).
2. Comparar com ISO 37301: Para cada cláusula, identificar o que já existe e o que falta. Use a tabela de mapeamento acima.
3. Priorizar gaps: Nem tudo precisa ser criado do zero. Exemplo: se você já tem matriz de riscos da ISO 14001, INTEGRE os riscos de compliance nela (não crie outra matriz separada).
4. Estimar esforço: Documentos novos a criar, treinamentos a realizar, recursos a alocar.

Fase 2 — Planejamento da integração (1 mês)

1. Definir estrutura documental: Opção 1: manual integrado único (SGI — Sistema de Gestão Integrado). Opção 2: manuais separados por norma (não recomendado, gera duplicidade).
2. Revisar Política: Criar Política de Gestão Integrada que cubra Qualidade, Meio Ambiente e Compliance. Ou manter políticas separadas (menos eficiente).
3. Definir função de compliance: Quem será? Pode ser o próprio Representante da Direção do SGI, desde que tenha independência. Empresas grandes criam departamento de compliance separado.
4. Planejar treinamentos: Conscientização geral (todos os funcionários) + treinamento específico (áreas críticas: compras, vendas, RH, financeiro).

Fase 3 — Implementação (3-6 meses)

1. Atualizar documentação existente: Revisar procedimentos atuais e adicionar requisitos de compliance onde aplicável. Exemplo: procedimento de compras — adicionar verificação de certidões negativas e due diligence de fornecedores.
2. Criar documentos novos: Canal de denúncias, procedimento de investigação de violações, código de ética (se não tiver).
3. Implementar controles operacionais: Colocar em prática os procedimentos. Treinar pessoas. Testar eficácia.
4. Monitorar primeiros resultados: Indicadores de compliance começam a ser medidos. Ajustes necessários são identificados.

Fase 4 — Auditoria interna integrada (1 mês)

1. Treinar auditores internos: Se já tem auditores internos de ISO 14001/9001, treiná-los em ISO 37301 (curso de 16 horas).
2. Realizar auditoria integrada: Verificar conformidade com ISO 14001 + ISO 9001 + ISO 37301 na mesma auditoria. Economiza tempo e revela interfaces entre os sistemas.
3. Tratar não-conformidades: Implementar ações corretivas ANTES da auditoria de certificação.

Fase 5 — Certificação (1-2 meses)

1. Contratar organismo certificador: Escolher acreditado (Inmetro, ANAB, UKAS). Preferir organismo que já auditou suas outras certificações (facilita auditoria integrada).
2. Auditoria Stage 1: Análise documental. Auditor verifica se documentação atende requisitos da norma.
3. Auditoria Stage 2: Auditoria in loco. Verifica implementação e eficácia do sistema.
4. Certificação: Se aprovado, certificado válido por 3 anos (com auditorias de manutenção anuais).

Custos da integração

Valores médios para empresa de médio porte (100-500 funcionários) já certificada em ISO 14001 ou 9001:

• Consultoria para implementação ISO 37301: R$ 30.000 a R$ 80.000 (menor que implementação do zero, pois parte do sistema já existe)
• Auditoria de certificação ISO 37301: R$ 12.000 a R$ 35.000
• Auditoria integrada (14001 + 9001 + 37301): R$ 25.000 a R$ 60.000 (30-40% mais barato que auditorias separadas)
• Canal de denúncias terceirizado: R$ 500 a R$ 2.000/mês (depende do número de funcionários)
• Treinamento compliance (todos os funcionários): R$ 50 a R$ 150/pessoa (EAD) ou R$ 200 a R$ 500/pessoa (presencial)

ROI típico: Empresas com sistema de compliance reduzem em média 50-70% o valor de multas e sanções administrativas. Uma única multa evitada geralmente paga a certificação.

Dicas práticas de quem já integrou

1. Não crie documentos duplicados. Se você já tem procedimento de "Identificação de Requisitos Legais" na ISO 14001, EXPANDA ele para incluir requisitos legais de compliance (não crie outro procedimento separado).
2. Use a mesma ferramenta para todos os sistemas. Se você gerencia não-conformidades da ISO 14001 num sistema (planilha, software), use o MESMO sistema para não-conformidades de compliance. Unifica gestão e facilita análise crítica.
3. Função de compliance precisa ter ACESSO DIRETO à Alta Direção. Não subordine compliance a áreas operacionais (cria conflito de interesse). Compliance reporta diretamente ao CEO/Diretoria.
4. Canal de denúncias deve ser REALMENTE anônimo. Se funcionários não confiarem, não vão usar. Terceirizar é mais eficaz (empresa externa recebe denúncias e repassa sem identificar denunciante).
5. Treinamento de compliance NÃO pode ser genérico. "Palestra de ética" de 1 hora não atende ISO 37301. Precisa ser treinamento ESPECÍFICO por área: compras (due diligence), vendas (anticorrupção), RH (prevenção de assédio), TI (LGPD).

Para mais detalhes sobre checklist completo da ISO 14001, confira nosso guia prático. Você também pode consultar o roteiro de certificação ISO 9001 e o guia PNRS.