Home
General
Gap Analysis ISO 37001 Checklist
Gap Analysis ISO 37001 Checklist
Rogério Silva

Gap Analysis ISO 37001 Checklist

Lista 37001 - rev:02 16/05/2020 Este Gap Analysis tem como objetivo verificar o atendimento aos requisitos normativos da ABNT NBR ISO 37001 versão 2017 e colaborar com possíveis oportunidades de melhorias advindas desse levantamento.

Use this Template
Print as PDF
graphic of a hand making an okay sign ×

Free Gap Analysis ISO 37001 Checklist Checklist

Use this Template

Title Page

  • Site conducted

  • Cliente/ Organização

  • Realizado em (Data e Hora)

  • Responsável pela avaliação

  • Localização

  • Responsável pelas informações da organização

Verificação GAP ANALYSIS, atendimento dos requisitos normativos.

4 - Contexto da Organização

  • 4.1 - Foram determinados todos os problemas externos e internos pertinentes ao seu propósito e que afetam sua capacidade de alcançar os objetivos do seu SGAS ?

  • Essas questões são revisadas e monitoradas regularmente?

  • 4.2 - Foram determinadas as necessidades e expectativas das partes interessadas que são relevantes para o SGAS?

  • 4.3 - O escopo do seu SGAS foi determinado, levando em consideração todos as questões externas e internas, as necessidades das partes interessadas e o resultado da avaliação de risco de suborno?

  • 4.4 - O SGAS está estabelecido e inclui uma descrição dos processos necessários e suas sequências e interações?

  • 4.5 - A organização determinou os critérios para identificar e gerenciar os riscos de suborno desses processos?

  • Avaliou a adequação e a eficácia dos controles existentes para mitigar esses riscos?

  • 4.5.2 Estabeleceu critérios para avaliar o nível desses riscos?

  • 4.5.3 Essa avaliação é executada em uma base regular (Tempo e frequência) definidos pela organização?

  • 4.5.4 A organização detém informação documentada para esse requisito?

5 Liderança

  • 5.1.1 - A organização dispõe em sua estrutura de governança órgão diretivo (Conselho de administração constituído)?<br>Este demonstra liderança e comprometimento com o SGAS?

  • Este órgão aprovou a política de gestão antissuborno?

  • Assegura que a estratégia da organização e política antissuborno estão alinhadas?<br>Analisa criticamente a intervalos planejados, informações sobre o conteúdo e operação do SGAS?<br>Disponibiliza recursos adequados e apropriados para a operação eficaz do SGAS?<br>Exerce supervisão sobre a implementação e operação do SGAS pela Alta Direção?

  • 5.1.2 - A Alta Direção demonstra liderança e comprometimento com relação ao SGAS?

  • Assegura que o SGAS, política antissuborno, objetivos, riscos de suborno, controles operacionais, cultura de antissuborno, promove a melhoria contínua, encoraja o relato de suborno, garanta que o pessoal não sofra retaliação para relatos feitos de boa fé e todas as necessidades estejam estabelecidos, implementados, mantidos e sendo analisados criticamente regularmente de forma adequada?

  • 5.2 - A política antissuborno, são compatíveis com a direção estratégica da organização, foram estabelecidos e comunicados?

  • Proíbe o suborno?

  • Reque cumprimento das leis antissuborno aplicáveis?

  • É apropriada ao propósito da organização?

  • Provem estrutura para determinação dos objetivos?

  • Determina o comprometimento em satisfazer os requisitos do sistema de gestão antissuborno?

  • Encoraja o levantamento de preocupações (Denúncias) de boa fé sem medo de represália?

  • Inclui o comprometimento para melhoria contínua do SGAS?

  • Explica a autoridade e independência da função compliance?

  • Explica as consequências do não cumprimento da política antissuborno?

  • Está disponível como informação documentada e, nos idiomas necessários?

  • Está disponível para as partes interessadas pertinentes?

  • 5.3 - A Alta Direção determina os papéis, responsabilidades e autoridades organizacionais assegurando que os papéis relevantes sejam atribuídos e comunicados dentro e em todos os níveis da organização?<br>Gestores de todos os níveis devem ser responsáveis por entender, cumprir e aplicar os requisitos do SGAS que se referem aos seus papéis e processos na organização.

  • 5.3.2 - A função cumpliance antissuborno foi atribuida?

  • A função tem autoridade e responsabilidade para supervisionar o SGAS?

  • A função tem acesso direto ao Órgão Diretivo?

  • Reporta o desempenho do SGAS a Alta Direção e ao Órgão Diretivo?

  • 5.3.3 - A Organização estabelece processo para tomada de decisão delegada para relações o qual existe mais do que um baixo risco de suborno, apropriado e livre de conflito de interesses (reais e potenciais) e revisados criticamente de forma periodica?

6 - Planejamento

  • 6.1 - Os riscos e oportunidades que precisam ser abordados para garantir que o SGAS possa alcançar o(s) resultado(s) pretendido(s) foram estabelecidos?

  • Os requisitos do contexto da organização, parte interessadas e análise de riscos foram levadas em consideração para abordagem dessas oportunidades?

  • Essas ações fornecem garantia razoável que a organização alcance seus objetivos, previna e reduza os efeitos indesejáveis alcançando melhoria do sistema?

  • 6.2 - A organização estabeleceu seu objetivos antissuborno nas funções e níveis pertinentes?

  • Esses objetivos estão consistentes com a política antissuborno, são mensuráveis (se aplicável), levam em conta o que foi determinado no contexto da organização, partes interessadas e levantamento de riscos, são alcançáveis, comunicados e atualizados como apropriado?

  • A organização retêm informação documentada sobre esses objetivos e, quando não alcançados determina, o que será feito, recursos que serão requeridos, responsável, quando será alcançado após ação, como serão avaliados e quem irá impor as sanções ou penalidades (se aplicável)?

7 - Apoio

  • 7.1 - A organização determinou e forneceu os recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do SGAS (incluindo pessoas, recursos e de infraestrutura)?

  • 7.2 - A organização determinou as competências necessárias das pessoas que realizam trabalhos sob seu controle e que afetam o desempenho do SGAS? (Descrição de cargos, ou semelhante)

  • Asseguram que essas pessoas sejam competentes com base em educação, treinamento ou experiência apropriados? <br>E onde aplicável, toma ações para adquirir e manter competência necessárias avaliando sua eficácia?

  • Retém informação documentada para comprovação dessas competências? (Diplomas, certificados, declarações)<br>Para experiência? (CTPS, Curriculum)

  • 7.2.2 - A organização implementou processo de contratação de pessoal, onde as condições de contração requeiram que o pessoas cumpram com a política antissuborno e SGAS, dando a organização o direito de adotar medidas disciplinares no caso de não cumprimento?

  • Dentro de um período razoável da contratação o pessoal seja orientado e treinado sobre a política antissuborno?

  • Implantou procedimentos que permitam tomar ações disciplinares apropriadas contra o pessoal que viole a politica antissuborno ou ao SGAS?

  • Implantou sistemática para que o pessoal não sofra retaliação, discriminação ou ações disciplinares de qualquer natureza por recusar-se a participar ou declinar de qualquer atividade que tenha uma razoável convicção que tenha mais que um baixo risco de suborno que não tenha sido mitigado pela organização?

  • Implantou sistemática para que relatos ou preocupações levantadas, desde que feitos de boa-fé e, com base em uma convicção razoável de tentativa, real ou suspeita de suborno, ou violação da política antissuborno e SGAS, não sofram retaliações, discriminação ou ações disciplinares de qualquer natureza?

  • 7.2.2.2 - A organização implantou procedimento que determine os cargos que estão expostos a mais do que um baixo risco de suborno, com base na análise de risco (item 4.5)?

  • Definiu processo para realização de Deu Diligence nestes cargos antes da contratação, ou, transferência (promoção) desde que aplicável ao cargo conforme definido na análise de risco?

  • A organização implantou sistemática para que prêmios por desempenho, metas por desempenho e outros elementos de incentivo de remuneração são analisados de forma periódica para verificar se os controles implementados impeçam de incentivar o suborno?

  • O pessoal, Alta Direção e Órgão Diretivo firmam a intervalos planejados uma declaração de cumprimento com a política antissuborno?

  • 7.3 - A organização provem regulamente (a intervalos planejados) treinamentos e conscientização apropriados e adequado para os colaboradores, com relação a política antissuborno, procedimentos aplicáveis, riscos identificados e demonstrando as circunstâncias que o suborno pode ocorrer e como reconhece-los, sua participação e contribuição no SGAS, incentivem o relato de suborno?

  • Identificou as partes interessadas com mais de um baixo risco de suborno e implementou procedimento que conscientize e treine esses parceiros sobre a política antissuborno que atuem e seu nome?

  • 7.4 - A organização determinou as comunicações internas e externas pertinentes para o seu SGAS, incluindo o que irá comunicar, quando comunicar, com quem comunicar, como comunicar, quem irá comunicar e os idiomas nos quais se comunicar?

  • A política antissuborno está disponível para todo o pessoal da organização e parceiros de negócios com mais de um baixo risco de suborno?

  • 7.5 - A organização definiu a informação documentada requerida pelo SGAS e pela própria organização como sendo necessário para a eficácia do SGAS?<br>Essa informação documentada pode ser retida separadamente como parte de outros sistemas ou processos, por exemplo compliance, financeiro, comercial, etc.

  • 7.5.2 - A organização implantou sistemática para criação e atualização da documentação assegurando:<br>* Identificação (título, data, autor, código, número de referência);<br>* Formato (Idioma, Versão, gráfico);<br>* Meio (Papel, eletrônico);<br>* Análise crítica e aprovação (responsável que tenha autoridade).

  • 7.5.3 - Essas informações documentadas estão controladas de forma que estejam disponíveis e adequado ao uso quando necessário, esteja protegido contra perda de confidencialidade, uso impróprio ou perda de integridade?

  • Abordou as atividades de controle:<br>* Distribuição, acesso, recuperação e uso;<br>* Armazenamento e distribuição;<br>* Controle de alterações (Versão, revisão);<br>* Retenção e disposição.

  • A organização identificou e mantém sistemática para controle de informação documentada de origem externa que foi determinada como necessária para a operação do SGAS?

8 - Operação

  • 8.1 - A organização planejou, implementou e analisou criticamente os processos necessários para atender os requisitos do SGAS, implementando ações para atendimento do requisito (6.1 Ações para abordar oportunidade e melhorias), estabelecendo critérios para os processos e seus devidos controles, mantendo informação documentada na extensão necessária para se ter confiança que os processos foram conduzidos como planejados?

  • A organização controla os processos terceirizados (caso aplicável) tomando ações para mitigar quaisquer efeitos adversos, como necessário?

  • 8.2 - A organização implantou sistemática para realização de due diligence para os riscos de suborno classificados como acima de baixo?

  • Tem evidências da realização dessas due diligence para transações, projetos, atividades, relacionamento planejados, parceiros de negócios e pessoal da organização que foi classificado com risco de suborno acima de baixo? (informações definidos pela organização)

  • A frequência e metodologia definida pela organização estão apropriadas?

  • A organização pode concluir que é desnecessário, não razoável ou desproporcional realizar due diligence em certas categorias de pessoas ou parceiros de negócios, existe essa condição?

  • 8.3 - A organização implementou controles financeiros que gerenciem os riscos de suborno identificados? (Sistemas informatizados ERP, workflow de aprovações, alçada de aprovações financeiras, dupla assinaturas de pagamento, restrição do uso em dinheiro em espécie, auditoria financeira, ente outras).

  • 8.4 - A organização implementou controles não financeiros que gerenciem os riscos de suborno identificados? (Procedimentos, políticas, comunicação, treinamentos, conscientização, contratos, dupla avaliação e assinaturas, medições trabalhos executados)

  • 8.5 - A organização implementou procedimentos para que o SGAS abranja todas as organizações controladas, ou, que estas implementem seus próprios controles antissuborno de acordo com resultado da análise de riscos levantado no requisito 4.5 - Análise de risco?

  • Para as organizações não controladas que tenha sido classificado com um baixo risco de riscos de suborno, foi determinado a implementação de controles que gerenciem riscos?

  • Quando não for possível cumprimento dessa determinação, a organização tem capacidade através de seu controles de gerencias tais riscos, como maneira de mitigá-los?

  • 8.6 - A organização implementou sistemática para que os parceiros de negócios que representam mais que um baixo risco de suborno, se comprometam em prevenir o suborno (em qualquer transação e, ou, atividade, projetos relacionados) e, que a organização seja capaz de encerrar o relacionamento caso haja comprovação de prática de suborno para beneficio deste parceiro?<br>

  • Quando o controle determinado em 8.3 não for possível atender, para os parceiros com mais de uma baixo risco de suborno, deverá ser um fator levado em consideração para os processos 4.5 - Análise de risco, 8.2 - due dilegence, 8.3 - Controles financeiros e 8.4 - Controles não financeiros.

  • 8.7 - A organização implementou procedimentos para prevenir a oferta, fornecimento ou aceitação de presentes, hospitalidades, doações e benefício similares o qual possa ser, ou, poderiam razoavelmente percebidos como suborno?

  • 8.8 - A organização implementou sistemática para, quando a due diligence estabelecer que o risco de suborno não podem ser gerenciados pelos controles antissuborno existentes e a organização não desejar implementar controles adicionais, ou ampliá-los, ou ainda tomar medidas apropriadas que gerenciem esses riscos, a organização deverá encerrar, descontinuar, suspender ou cancelar a relação assim que possível ou recusar dar continuidade, se aplicável.

  • 8.9 - A organização implementou procedimentos que incentivem e permitam que o pessoal relate de boa-fé, com base razoável de convicção, suspeita ou real de suborno, ou qualquer violação ou fragilidade do SGAS?

  • A organização trata essas denúncias de forma confidencial?

  • Esse método permite relato de forma anônima?

  • Proíbe a retaliação e protegem aqueles que façam o relato de retaliação?

  • Orientam o pessoal sobre o que fazer se confrontado com uma preocupação ou situação que possa envolver o suborno?

  • Assegura que todo o pessoal esteja ciente dos procedimentos de relato e seja capaz de usá-los, esta ciente de seus direitos e proteções nos temos do procedimento.

  • 8.10 - A organização implementou procedimentos que requeiram a avaliação, investigação e ações necessárias para qualquer suborno, violação da política antissubono ou do SGAS?

  • A organização dá poder e capacidade aos investigadores e, quando necessário, requeiram a cooperação de pessoal pertinente?

  • Que as situações e resultados das investigações relacionados a suborno sejam comunicadas e relatadas para a função compliance antissuborno e para outras funções de compliance, como apropriados?

  • Que as investigações e os resultados sejam conduzidos de forma confidencial?

  • Garante a imparcialidade do investigador?

9 - Avaliação de desempenho

  • 9.1 - A organização determinou o que precisa ser monitorado e medido e os métodos de monitoramento, medição, análise e avaliação para garantir resultados válidos?

  • Estabeleceu o que precisa ser monitorado, quem é o responsável, método para medição ou análise, quando monitorar e para quem estas informações devem ser reportadas?

  • A organização retem informação documentada como evidência dos métodos dos resultados?

  • A organização avalia esse desempenho para comprovação da eficiência e eficácia do SGAS?

  • 9.2 - A organização implementou procedimento para condução de auditorias internas do SGAS, a fim de, prover informações sobre se o sistema está em conformidade com or requisitos da própria organização, do sistema de gestão antissuborno e dos requisitos normativos da ISO 37001?

  • A organização planejou a frequência, métodos, responsabilidades e requisitos que devem ser levados em consideração para este processo, contando resultado de auditorias anteriores?

  • Definiu critérios e escopo de auditoria?

  • Selecionou auditores competentes para conduzi-las, assegurando a objetividade e imparcialidade para com os processos auditados?

  • Assegura que os resultados sejam reportados para a gerência pertinente, função cumpliance antissuborno, Alta Direção e, como apropriado Órgão Diretivo (se existir)?

  • Retem informação documentada do processo?

  • A razoabilidade e proporcionalidade da auditoria, com base nos riscos identificados juntamente com a verificação dos procedimentos internos, controles e sistemas para prevenção de suborno, violação da política antissubono, requisitos do SGAS, falha do parceiro de negócio em atender aos requisitos antissuborno aplicáveis, fragilidades do SGAS e oportunidade de melhorias, foram atendidos na última auditoria interna realizada?

9.3 Análise Critica pela Direção

  • 9.3.1 - A organização implementou sistemática para realização, a intervalos planejados, análise crítica pela Alta Direção?

  • Incluiu na análise considerações:<br>* Situações de analise críticas anteriores;<br>* Possíveis mudanças nas questões internas e externas que sejam pertinentes para o SGAS;<br>* Informações sobre o desempenho do SGAS, tais como, <br>1° Não conformidades e ações corretivas;<br>2° Resultado de monitoramento e medição;<br>3° Resultado de auditoria interna SGAS;<br>4° Relatos de suborno;<br>5° Investigações;<br>6° Natureza e extensão dos riscos de suborno em que a organização está sujeita; <br>* Eficácia das ações tomadas para abordar os riscos de suborno;<br>* Oportunidade para melhoria do SGAS.

  • Quais foram as oportunidades de melhorias identificadas pela Alta Direção que deverão ser aplicadas e, necessidades de mudanças no SGAS (se aplicável?)

  • A organização retem informação documentada para esse requisito?

  • Um resumo de dos resultados da análise crítica pela Alta Direção foi elaborado para reportar ao Órgão Diretivo? (Se aplicável)

  • 9.3.2 - O Órgão diretivo realizou análise crítica periódica do SGAS, baseado nas informações fornecidas pela Alta Direção e função Compliance antissuborno? (se aplicável)

  • A organização reteve informação documentada resumidas do resultados da realização dessa reunião? (se aplicável)

10 - Melhoria

  • 10.1 - A organização implementou sistemática para tratativas de não conformidades e ações corretivas?

  • Essa sistemática define como reagir prontamente a não conformidade tomando medidas para controlá-la e corrigi-la lidando com suas consequências?

  • Avalia a necessidade de ação para eliminar a causa, a fim de que ela não se repita ou ocorra em outro lugar, implementando qualquer ação necessária?

  • Analisa criticamente a eficácia das ações corretivas tomadas e realiza as mudanças necessárias no SGAS, se necessário?

  • A organização retem informação documentada como evidência dessas ações?

  • 10.2 - A organização melhora continuamente a adequação, suficiência e eficácia do sistema de gestão antissuborno?

Recomendações

  • Comentários gerais.

Gap Analysis ISO 37001 Checklist
Rogério Silva

Gap Analysis ISO 37001 Checklist

Lista 37001 - rev:02 16/05/2020 Este Gap Analysis tem como objetivo verificar o atendimento aos requisitos normativos da ABNT NBR ISO 37001 versão 2017 e colaborar com possíveis oportunidades de melhorias advindas desse levantamento.

Use this Template
The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.

Related checklists

back arrow for carousel
back arrow for carousel
iAuditor Logo Icon ©SafetyCulture 2022