facilita.etcBlogISO 37001: antissuborno também é tema de PME

Compliance

ISO 37001: antissuborno também é tema de PME

Klaus Fuchs · 30 abr 2026 · 8 min de leitura

Conversa que ainda escuto com frequência:

"ISO 37001 é coisa de empresa grande. A gente é pequena, não tem essa preocupação."

Razoável - se for verdade. Mas vamos testar:

  • Sua empresa participa de licitações públicas?
  • Tem fornecedor que negocia com órgãos governamentais em seu nome?
  • Vende pra cliente cuja matriz é estrangeira (especialmente EUA, UK, ou UE)?
  • Tem operação em mais de um país, ou exporta?
  • Tem comissionados externos, representantes ou agentes?

Se respondeu "sim" pra qualquer uma: sua empresa tem exposição a risco de suborno, queira ou não. E essa exposição não tem nada a ver com porte. Empresa de 30 pessoas que vence licitação federal carrega o mesmo tipo de risco que multinacional.

ISO 37001 é o framework internacional pra estruturar defesa contra esse risco - e cada vez mais é exigido em B2B sério.

Por que o tema ficou maior

Três movimentos simultâneos elevaram o sarrafo:

1. Brasil ratificou convenções internacionais

OECD Anti-Bribery Convention, FCPA (americana), UK Bribery Act. Empresas brasileiras com qualquer ligação com EUA ou Reino Unido podem ser responsabilizadas sob essas legislações - mesmo se o ato aconteceu no Brasil.

2. Lei Anticorrupção (Lei 12.846/2013) tem precedente sólido

Mais de uma década de jurisprudência. CGU autuando, TCU questionando, Receita Federal cruzando informações. Multas chegam a 20% do faturamento bruto.

3. Cadeia exige

Cliente grande quer evidência de que fornecedor não vai trazer problema. ISO 37001 vira atalho - mostra que a empresa tem sistema, não só boas intenções.

O que ISO 37001 realmente exige

Em essência, 4 grandes blocos:

Bloco 1: Política antissuborno aprovada pela alta direção

Documento conciso (1-3 páginas), aprovado formalmente, comunicado a toda organização. Define o quê é proibido, quais as exceções (presentes simbólicos, hospitalidade dentro de limites), e como denunciar.

Dica prática: política não pode ser cópia de modelo da internet. Tem que ser adequada à realidade da sua organização. Se você opera em setor com prática ruim historicamente, política precisa ser mais explícita.

Bloco 2: Due diligence em terceiros

Aqui é onde a maioria das empresas se complica. ISO 37001 exige avaliação de risco em 3 categorias de terceiros:

  • Fornecedores - especialmente os que interagem com setor público em seu nome
  • Parceiros comerciais - representantes, distribuidores, joint ventures
  • Clientes - especialmente em transações de alto valor ou setor sensível

A avaliação tem profundidade variável conforme nível de risco. Pra um fornecedor de baixo risco, basta declaração assinada. Pra um representante de vendas em país de alto risco, pode exigir background check, auditoria contratual e monitoramento contínuo.

Bloco 3: Controles financeiros e operacionais

Sistema que dificulta que pagamento indevido aconteça mesmo se alguém tentar:

  • Aprovações em camadas (1 pessoa não autoriza pagamento sozinho acima de threshold)
  • Segregação de funções (quem aprova compra não é o mesmo que paga)
  • Monitoramento de transações suspeitas (valores fora do padrão, fornecedor não cadastrado, pagamento em país de risco)
  • Política de presentes e hospitalidade com limites claros
  • Controle sobre doações políticas e patrocínios

Bloco 4: Canal de denúncia ativo

Hotline (telefônica, online ou via terceiro independente). Garantia de não-retaliação documentada e visivelmente comunicada. Processo estruturado de investigação. Possibilidade de denúncia anônima.

Sem canal ativo, ISO 37001 não certifica. Com canal mas sem investigações reais, certifica mas o sistema não funciona.

O caminho pra empresa de porte médio

Pra empresa de 50-300 pessoas, implementação realista:

  1. Avaliação de risco antissuborno (1-2 meses): identifica áreas, geografias, tipos de transação onde a exposição é maior
  2. Política e código de conduta (1 mês): aprovação pela direção, comunicação, treinamento inicial obrigatório
  3. Workflow de due diligence (2 meses): formulário, critérios, fluxo de aprovação por risco
  4. Reforço de controles financeiros (2-3 meses): aprovações, segregação, monitoramento
  5. Canal de denúncia (1-2 meses): pode ser interno ou via plataforma terceira
  6. Treinamento contínuo: anual, com cobertura de 100% dos funcionários e diferenciação por nível de exposição
  7. Auditoria interna (depois de 6 meses de operação)
  8. Auditoria externa (organismo certificador)

Tempo total até primeira certificação: 12-18 meses pra empresa que está partindo do zero.

Custo: R$ 60-150k em consultoria + auditoria externa. Mais relevante: 1-2 FTEs equivalentes durante implementação.

Quando vale

3 sinais claros:

  • Cliente grande começou a perguntar. Especialmente cliente americano, europeu ou multinacional. Vão pedir formalmente em algum momento.
  • Você está em licitação federal recorrente. Vantagem competitiva imediata.
  • Sua organização cresceu e a exposição aumentou. O que era ok pra empresa de 20 pessoas vira risco real em empresa de 200.

Quando não vale:

  • Empresa puramente B2C local sem transação com setor público
  • Empresa muito pequena onde dono assina tudo e não há cadeia decisória
  • Empresa em fase muito inicial onde sobrevivência é a prioridade absoluta

Pra esse último grupo, código de conduta + política básica de presentes já entrega o essencial. ISO 37001 vem depois.

Sua empresa está exposta a risco de suborno?

Diagnóstico em 5 minutos: avalia exposição por área e geografia, com plano de implementação ISO 37001.

  Diagnóstico ISO 37001   Solução ISO 37001
Klaus Fuchs
Klaus Fuchs Founder da facilita.etc. 15+ anos liderando gestão estratégica em saúde, educação e organizações sociais. Conduziu acreditações em uma das maiores OSS do Brasil. Escreve sobre o que pratica.

Quer aplicar isso na sua organização?

Em 5 minutos, faça um diagnóstico de prontidão e descubra onde sua operação ganha em organização, compliance e gestão.

  Diagnóstico de prontidão   Falar com a gente