ISO 37001 ou ISO 37301: O que certificar primeiro (e porquê)

Se é Gestor de Conformidade, provavelmente já enfrentou esta situação: a liderança quer uma certificação «rapidamente», as equipas comerciais querem algo que transmita confiança aos clientes e os auditores querem provas de que o seu programa de conformidade é mais do que uma política em PDF.

A pergunta mais comum é: (Antissuborno) ISO 37001 ou ISO 37301 (Sistema de Gestão de Conformidade) — qual você deve certificar primeiro?

Não existe uma resposta única para todos os casos, mas há uma lógica de decisão prática que ajuda a evitar a duplicação, reduzir o tempo de entrega e criar um programa que realmente funcione no mundo real. Este guia fornece uma estrutura clara para a tomada de decisões, etapas práticas, funções, cronogramas, armadilhas comuns, um mini cenário real e um modelo “para download” que pode ser copiado e colado para dar início ao seu plano.

1) O que cada norma faz em linguagem simples

ISO 37301 — Sistema de Gestão da Conformidade (CMS)

Trate a ISO 37301 como o seu sistema operativo de conformidade. Estrutura a forma como identifica obrigações, avalia riscos de conformidade, concebe controlos, gere provas, monitoriza o desempenho, realiza auditorias internas e melhora continuamente — ao mesmo tempo que reforça a cultura e a governação.

Mais adequado quando

• Deve gerir várias obrigações de conformidade e partes interessadas.

• Quer um sistema repetível, em vez de iniciativas pontuais.

• Precisa de rastreabilidade: obrigação → risco → controlo → evidência → revisão.

ISO 37001 — Sistema de Gestão Antissuborno (ABMS)

A ISO 37001 é mais focada: tem como objetivo prevenir, detectar e responder ao risco de suborno. Promove o rigor em áreas que normalmente falham na prática: due diligence de terceiros, presentes e hospitalidade, doações/patrocínios, controlos financeiros e não financeiros, relatórios/investigações e ações corretivas.

Mais adequado quando

• O seu negócio depende fortemente de intermediários, agentes, consultores ou distribuidores.

• Trabalha com contratos públicos, licenciamento, mercados de alto risco ou vendas com base em comissões.

• Tem «sinais de alerta», incidentes ou pressão externa direta para demonstrar maturidade no combate ao suborno.

Conclusão principal:

• A ISO 37301 constitui a espinha dorsal da governança para a conformidade.

• A ISO 37001 reforça um domínio de risco de alto impacto: o suborno.

2) As 7 perguntas que determinam 80% do resultado

Avalie cada pergunta com sinceridade. A sua resposta geralmente será óbvia.

1. O risco de suborno é relevante para a organização (terceiros, concursos, comissões, mercados de alto risco)?

2. Precisa de um sistema de conformidade multifuncional (múltiplas obrigações legais/contratuais)?

3. Existe pressão externa explícita para a ISO 37001 (cliente, concurso, grupo controlador)?

4. Tem maturidade suficiente (políticas, registos, auditoria, evidências) para passar na certificação agora?

5. Os processos de comunicação e investigação (incluindo denúncias) são operacionais e confiáveis?

6. A liderança fornecerá patrocínio visível (tom da alta administração) e recursos?

7. Tem uma forma estruturada de gerir obrigações, controlos e provas (sem arquivos dispersos)?

Regra prática

• Se 1+3 forem fortes → ISO 37001 primeiro (risco/pressão direta).

• Se 2+4+7 forem fracos → ISO 37301 primeiro (construir a base).

• Se ambos forem fortes e houver caos → implementar o núcleo 37301 e construir o 37001 em paralelo, certificar em fases.

3) Três estratégias realistas (e quando utilizá-las)

Estratégia A — Certificar primeiro a ISO 37301 (a abordagem fundamental)

Escolha esta opção se

• O seu âmbito de conformidade é amplo e fragmentado.

• Precisa de um sistema de governança que abranja várias obrigações.

• Quer que a ISO 37001 seja mais rápida posteriormente, com o mínimo de retrabalho.

Prós

• Menos duplicação: controlo de documentos, auditorias, revisão da gestão, ações corretivas, KPIs e evidências tornam-se reutilizáveis.

• Mais consistência: a conformidade torna-se um sistema, não uma campanha.

Risco

• Se o mercado exigir a ISO 37001 imediatamente, a liderança pode achar que é «muito lento». Mitigue isso com um plano faseado e resultados visíveis no combate ao suborno logo no início.

Estratégia B — Certificar primeiro a ISO 37001 (abordagem de alto risco/urgência)

Escolha esta opção se

• O suborno é o principal risco organizacional.

• Precisa transmitir confiança rapidamente aos clientes, licitantes ou investidores.

Prós

• Redução rápida do risco onde é mais importante.

• Sinal comercial forte.

Risco

• Cria uma «ilha» anticorrupção desconectada da conformidade mais ampla. Mitigue isso planeando a integração da ISO 37301 desde o primeiro dia.

Estratégia C — Implementação integrada, certificação faseada (rápida + eficiente)

Escolha esta opção se

• Quer velocidade sem desperdício.

• Pode construir um sistema central enquanto desenvolve o módulo anti-suborno.

Como funciona

1. Construa o núcleo da ISO 37301: obrigações, avaliação de riscos, controlos, evidências, ciclo de auditoria.

2. Implementar o módulo ISO 37001: diligência prévia de terceiros, presentes/hospitalidade, controlos, investigações.

3. Certifique primeiro o que for mais urgente e, em seguida, conclua o segundo com o mínimo de esforço adicional.

Solicite a Checklist (nos comentários deste artigo)

4) Funções e responsabilidades: o que os auditores irão realmente testar

Os projetos de certificação falham menos por falta de documentos e mais por causa de uma governança fraca. Mantenha as coisas simples:

• Alta administração/Conselho: aprova políticas, define a propensão ao risco, atribui recursos e analisa o desempenho.

• Função de conformidade: projeta e mantém o sistema, coordena riscos/controlos/evidências, executa monitorização e relatórios.

• Responsáveis pelos processos (Compras, Vendas, RH, Finanças, Jurídico, Operações): executar controlos e manter registos.

• Auditoria interna/garantia (quando aplicável): avalia a eficácia e a independência.

• Relatórios e investigações: triagem, investigação, proteção da confidencialidade, documentação dos resultados, implementação de ações corretivas.

Nota crítica: denúncias e investigações são «pontos de verdade». Se forem fracos, o seu programa torna-se frágil — e o risco à sua reputação aumenta.

5) Um cronograma realista (sem promessas mágicas)

Para uma organização focada PME / mercado médio:

Fase 0 (2 semanas) — Avaliação do âmbito + lacunas

• Defina os limites do âmbito (entidades, países, processos, terceiros).

• Avaliação rápida das lacunas e plano.

Fase 1 (4–6 semanas) — Construir o núcleo da ISO 37301

• Registo de obrigações + avaliação do risco de conformidade.

• Políticas, objetivos, modelo de evidência.

• Controlo de documentos, ações corretivas, estrutura de monitorização.

Fase 2 (4–6 semanas) — Implementar o módulo ISO 37001

• Avaliação do risco de suborno + plano de tratamento.

• Due diligence e contratação de terceiros com base no risco.

• Regras relativas a presentes/hospitalidade, doações/patrocínios, conflito de interesses.

• Controlos financeiros e não financeiros, segregação de funções, processo de investigação.

Fase 3 (3–4 semanas) — Operação, auditoria, revisão da gestão

• Execute controlos e recolha provas reais.

• Auditoria interna + correções.

• Revisão da gestão + preparação.

Certificação (2 a 6 semanas)

• Auditorias da Fase 1 + Fase 2.

Atalho honesto: se atualmente não possui um sistema de conformidade, a ISO 37301 primeiro geralmente reduz o tempo total, pois a maioria dos mecanismos do sistema de gestão são reutilizáveis para a ISO 37001.

6) As armadilhas que prejudicam a maioria das equipas

1. «Teatro político»: documentos perfeitos, práticas deficientes.

2. Lacunas nas evidências: os controlos não deixam vestígios.

3. Due diligence fraca de terceiros (um dos principais pontos fracos da ISO 37001).

4. Canais de denúncia com baixo nível de confiança (as pessoas não se manifestam).

5. Investigações ad hoc (sem critérios, prazos, documentação).

6. Formação genérica (não adaptada a funções de alto risco).

7. Métricas de vaidade (cliques de treino vs eficácia de controlo).

8. Sem apoio da liderança (a cultura não muda).

9. Dispersão de ferramentas (riscos no Excel, evidências em e-mails, ações em chats).

10. Ignorando o GDPR: denúncias e investigações exigem um projeto de privacidade disciplinado.

7) Mini real-world scenario: how a phased approach wins

Empresa: “TechManufacture”, 180 funcionários, vende para grandes grupos e participa em concursos públicos. Recorre a distribuidores e consultores comerciais.

Problema:
Existem políticas, mas estão dispersas. A formação é anual e genérica. Os relatórios são subutilizados. As compras e as vendas têm controlos de terceiros inconsistentes.

Decisão recomendada (por fases):

• Semanas 1–2: avaliação do âmbito + lacunas.

• Semanas 3–8: implementar o núcleo da ISO 37301 (obrigações, riscos, propriedade do controlo, modelo de evidência, ciclo de auditoria interna).

• Semanas 6–12 (paralelas): implementar o módulo ISO 37001 para processos críticos (terceiros, presentes/hospitalidade, controlos financeiros, investigações).

• Certifique primeiro a ISO 37001 (pressão do cliente) e, em seguida, certifique a ISO 37301 2 a 4 meses depois, quando o sistema mais amplo estiver totalmente operacional.

Por que a tecnologia reduz o esforço

• Um canal de denúncias focado na confidencialidade e rastreabilidade aumenta a confiança e melhora a triagem/encerramento.

• Uma plataforma para gerir obrigações, controlos, evidências e auditorias reduz a fragmentação e acelera as auditorias externas.

• O suporte especializado acelera o design e a preparação sem reinventar a roda.

Solicite a Checklist (nos comentários deste artigo)

8) So… what should you certify first?

Use esta regra operacional hoje mesmo:

• O suborno é o risco número 1 e a pressão externa é imediata? → Primeiro a ISO 37001, com uma integração planeada da ISO 37301.

• Precisa de um sistema de conformidade escalável para várias obrigações? → Primeiro a ISO 37301, depois a ISO 37001 mais rapidamente.

• Precisa de rapidez sem desperdício? → Implementação integrada + certificação faseada.

O objetivo não é «um certificado». O objetivo é um sistema que:

• reduz o risco real,

• constrói a confiança das partes interessadas,

• e torna os pedidos de provas e as auditorias significativamente mais fáceis.

9) Next Steps:

• iCompliance.eu – Serviços de implementação
• iPrivacy.eu – Serviços RGPD / DPO
• iComply.pt – plataforma de conformidade multi-standard
• Solicite a Checklist (nos comentários deste artigo)

Participe da conversa que está a moldar o futuro do trabalho! Book a meeting!

Veja outros artigos que podem ser do seu interesse.

Esperamos que tenha gostado deste artigo.

Obrigado!

Constantino Ferreira

iBlow.eu

Gostou? Subscrever para receber futuros artigos