NORMAS ISO 37301.docx

Full Transcript

NORMAS ISO 37301 (2021)- SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO.

Introducción

Su antecedente, ISO 19600, es la norma incorporada en España con la denominación UNE-ISO 19600. En abril 16 de 2021, con la ISO 37301, el contenido del estándar internacional ISO 19600 se adoptó como conjunto de requisitos y ya no meras recomendaciones, por lo cual, contrario al antecedente de la UNE-ISO 196001, su adopción es certificable.

Estructura

Estructura de alto nivel de los modelos de gestión ISO

ISO es una entidad privada que no crea normas sino estándares, que las legislaciones y regulaciones pueden adoptar para ser compatibles. Los estándares son flexibles, por lo que las organizaciones los pueden cumplir y a la vez modificar o adaptar.

Estructura de alto nivel aplicada a la ISO 37301

Los pasos del sistema son, en ciclo, (i) desarrollar, (ii) implementar, (iii) evaluar y (iv) mantener. Se conoce como “estructura de mejora continua”, “círculo de control de Deming”, o “PDCA”: “Plan-Do-Check-Act”. Tiene como principio la integración de la cultura de cumplimiento en el día a día -en los procedimientos o procesos de negocios- de las organizaciones, sin perder la independencia de la función de cumplimiento.

Objeto y campo de aplicación

ISO2 37301 dice cómo “establecer, desarrollar, implementar, evaluar, mantener y mejorar” un sistema de gestión de Compliance, para organizaciones de cualquier tamaño y sector.

Definiciones de ISO 37301

Organización: “persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para el logro de sus objetivos”.
Parte interesada: “persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad”.
Alta dirección: “persona o grupo de personas que dirigen y controlan una organización al más alto nivel”.
Órgano de Gobierno: “persona o grupo de personas que gobiernan una organización, establecen las direcciones y a quienes la alta dirección… rinde cuentas”.
Empleado: “individuo con una relación que está reconocida como relación laboral en la legislación nacional o en la práctica”.
Función de Compliance: “persona(s) con responsabilidad para la gestión de Compliance”.
Sistema de gestión: “conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos para lograr estos objetivos”.
Política: “intenciones y dirección de una organización, como las expresas formalmente por su alta dirección”.
Objetivo: “resultado a lograr”.
Proceso: “conjunto de actividades interrelacionadas o que interactúan, que transforma elementos de entrada en elementos de salida”.
Procedimiento: “forma específica de llevar a cabo una actividad o proceso”.
Riesgo de Compliance: “efecto de la incertidumbre en los objetivos de Compliance”.
Requisito de Compliance: “requerimiento que una organización tiene que cumplir”.
Compromiso de Compliance: “compromiso que una organización elige cumplir”.
Obligación de Compliance: “requisito de Compliance o compromiso de Compliance”.
Incumplimiento: “no cumplir con una obligación de Compliance”.
No conformidad: “incumplimiento de un requisito”.
Cultura de Compliance: “valores, ética y creencias que existen en una organización y que interactúan con las estructuras y sistemas de control de la organización para producir normas de comportamiento que conducen a resultados de Compliance”.
Seguimiento: “determinación del estado de un sistema, un proceso o una actividad”.
Acción correctiva: “acción para eliminar la causa de una no conformidad o un incumplimiento de Compliance y evitar que vuelvan a ocurrir”.

Contexto de la organización

Comprensión de la organización y su contexto

Se deben identificar factores relevantes para el fin de la organización y que afectan su capacidad de obtener resultados, e.g., modelo de negocio, contexto legal y regulatorio, políticas, procedimiento y recursos internos, cultura de compliance, entorno.

Comprensión de las necesidades y expectativas de las partes interesadas

Se debe identificar a las partes interesadas en el sistema de Compliance, los requisitos aplicables a ellas y cuales de éstos se tratarán en el sistema de Compliance.
Ejemplos de partes interesadas son: propietarios y fundadores; en el sector privado, internos es decir, administradores, directivos y empleados; en el sector privado, externos es decir, proveedores, clientes y prospectos, competidores, ONGs; en el sector público, legisladores, reguladores, sindicatos, grupos de especial interés y medios de comunicación.

Determinación del alcance del sistema de gestión de Compliance

Se debe delimitar la materia -temas y actividades a tratar, partes interesadas-, y el territorio sobre el que el sistema de Compliance funcionará. Ello, a partir de las obligaciones de Compliance de las partes interesadas, sus expectativas, y los factores internos y externos.

Sistema de gestión de Compliance

Se deben establecer (i) valores, (ii) objetivos, (iii) estrategia y (iv) riesgos de Compliance de la organización. Se requiere un mantenimiento y mejoría continuo del sistema.
Las medidas de buen gobierno corporativo -BGC- son formas de alinear el sistema de Compliance, por ejemplo, (a) el acceso directo de la función de Compliance al órgano de gobierno, (b) la independencia de la función de Compliance, a través de canales de comunicación directos entre ella y el órgano de gobierno o una comisión como por ejemplo de auditoría y control, y (c) la asignación de la función de Compliance con autoridad suficiente y recursos financieros, humanos y técnicos adecuados y necesarios.

Obligaciones de Compliance

Hay voluntarias -compromisos-, e involuntarias -requisitos-. Se deben identificar, así como la forma en la que afectan las actividades, servicios y/o productos. La identificación debe mantenerse actualizada.

Evaluación de los riesgos de Compliance

La evaluación determina la asignación de recursos y el diseño de procesos de gestión de riesgos. Los riesgos se califican entre inherentes -sin controles- y residuales -los que quedan luego de implementados los controles-.
Se debe identificar las causas de los riesgos -normativas-.
Se deben identificar las causas de los incumplimientos de las obligaciones de Compliance -conductas de riesgo asociadas a normativas, conforme a los factores internos (estructura, actividad) como externos (sector, legislación, contexto económico y sociocultural)-. De igual forma, se deben identificar a las posibles personas expuestas a esos riesgos.
Se deben identificar las consecuencias del incumplimiento de las obligaciones de Compliance -e.g. daños personales y ambientales, pérdidas económicas, daños reputacionales y responsabilidades administrativas, civiles y penales-.
Se debe identificar los controles que pueden disminuir la probabilidad del incumplimiento de Compliance, e.g. políticas, procesos y procedimientos.
Se deben revaluar los riesgos periódicamente, o cuando se justifique -e.g. cambios en actividades, productos y servicios; en la estructura o estrategia; en factores externos (circunstancias económicas-financieras, condiciones de mercado, pasivos y relaciones con clientes); en obligaciones de Compliance; fusiones y adquisiciones; incumplimientos de Compliance-.
Se debe priorizar el tratamiento de riesgos según un enfoque basado en el riesgo -RBA-.

Liderazgo

Liderazgo y compromiso

Órgano de gobierno y alta dirección

La eficacia del sistema de Compliance requiere que el órgano de gobierno y la alta dirección demuestren su compromiso con él, y su importancia estratégica.
Para eso, deben asignar y comunicar las responsabilidades y autoridades de los roles de Compliance. Son ejemplos de ello, que: el órgano de gobierno (i) apruebe la política de Compliance; (ii) comunique a las partes interesadas, con claridad, convicción y ejemplo práctico el compromiso con el Compliance, (iii) cumple con el sistema de Compliance.
Igualmente, que la alta dirección: (i) deba asegurar la eficacia del compromiso con el Compliance en la organización, (ii) trasmita al personal clara y consistentemente al personal que la organización cumplirá el Compliance, (iii) comunique a las partes interesadas, con claridad, convicción y ejemplo práctico el compromiso con el Compliance (iv) tenga responsabilidades de compliance en todos sus niveles, (v) cumple con el sistema de Compliance.
Además, se prueba cuando las personas que cumplen la función de Compliance (i) son competentes, con autoridad e independencia adecuada, (ii) tiene acceso directo al órgano de gobierno, (iii) reciben recursos adecuados para promover la cultura de Compliance con actividades de concienciación y formación de las partes interesadas,
También, se prueba cuando la organización (i) tiene políticas, procesos y procedimientos que cumplen requisitos legales pero también códigos voluntarios y valores de la organización, (ii) hace revisiones periódicas del sistema -mínimo una al año-. (iii) mejora continuamente el desempeño del sistema, (iv) toma acciones correctivas puntuales.

Cultura de Compliance

El órgano de gobierno y la dirección deben demostrar compromiso con la cultura de Compliance, de forma activa, visible, consistente y constante.
Frente a la cultura de Compliance, la organización debe: (i) medir su cultura, (ii) determinar si los empleados perciben el compromiso del órgano de gobierno y la dirección con la cultura de Compliance, (iii) responder ante indicadores de la cultura de Compliance con planes de acción.
ISO 37301 enlista promotores de la cultura de Compliance: (i) publicación de los valores organizacionales, (ii) compromiso de la dirección con el respeto a los valores organizacionales, (iii) trato igual a todos los incumplimientos de Compliance, sin importar la posición de los involucrados, (iv) debida diligencia y adecuada evaluación a empleados con funciones importantes antes de su vinculación, (v) formación en Compliance a nuevos empleados que incluya valores organizacionales, (vi) formación continuada en Compliance a las partes interesadas relevantes, (vii) comunicación continuada sobre Compliance, (viii) sistemas de evaluación sobre el comportamiento ante el Compliance, y sistemas de retribución con base en el logro de objetivos del Compliance, (ix) imposición de medidas disciplinarias “rápidas y proporcionadas” ante infracciones -intencionadas o negligentes- de Compliance.
ISO 37301 dice que para medir la cultura de Compliance se toma en cuenta los factores promotores de Compliance arriba mencionados, como también si las partes interesadas saben de su implementación, si los empleados entienden la relevancia de sus actividades y obligaciones de Compliance y los de su unidad, si los sancionadores se apropian de su función y la ejercen adecuadamente, si el papel del Compliance es adecuado, y si se permite y anima el uso de los canales de denuncias con destino a la alta dirección y el órgano de gobierno.

Gobierno de Compliance

ISO 37301 tiene como principios fundamentales del Compliance: (i) el acceso de la función de Compliance al órgano de gobierno y a la alta dirección, e.g. línea directa al CEO e indirecta al comité de auditoría, presidente u órgano de administración, (ii) la independencia de la función de Compliance, es decir, la ausencia de conflictos de interés y la habilidad para actuar sin interferencia, (iii) la autoridad de la función de Compliance, suficiente para emitir órdenes a empleados y sin posibilidad de que nadie modifique sus informes, (iv) recursos necesarios para que la función de Compliance actúe sin restricciones.

Política de Compliance

Este documento contiene principios generales, una declaración de compromiso con los objetivos de Compliance, la distribución de responsabilidades, índices de desempeño y de evaluación frente a los objetivos de Compliance.
Los requisitos generales de la política son: (i) ser adecuada frente al fin organizacional, (ii) contener un marco de referencia para establecer los objetivos de Compliance, (iii) incluir el compromiso de cumplir requisitos (obligaciones legales y regulatorias), (iv) incluir el compromiso de mejora continua.
Los requisitos específicos de la política son regular: (i) la aplicación y el contexto del sistema frente al tamaño, naturaleza y complejidad de la organización y de su entorno, (ii) el grado de integración del Compliance con otras funciones como gobernanza, riesgos, auditoría y jurídica, y (iii) principios de las relaciones con las partes interesadas.
La política no es un único documento. Lo integran políticas específicas, procedimientos y procesos operacionales entre otros. Debe estar en el idioma pertinente.
Para elaborar la política, se debe tener en cuenta: (i) las obligaciones de Compliance, (ii) la estrategia, objetivos, cultura y enfoque de gobernanza de la organización, (iii) la estructura de la organización, (iv) la naturaleza y el nivel de riesgo asociados a incumplimiento del Compliance, (v) las normas, códigos, políticas internas y procedimientos adoptados, y (vi) los estándares de la industria.
El contenido específico de la política debe ser: (i) una declaración de la misión, (ii) una declaración de política general, (iii) estrategia de gestión y asignación de responsabilidades y recursos, (iv) procedimientos estándar de Compliance, y (v) auditoría, debida diligencia y Compliance.

Roles, responsabilidades y autoridades en la organización

Dependen de la estructura de la organización. Los principios generales pueden ser los siguientes.

Órgano de gobierno y alta dirección

Distribuyen responsabilidades de Compliance -y lo comunican-. Reciben información del cumplimiento de responsabilidades de Compliance.
La Alta Dirección es responsable de la operación del sistema de Compliance -logro de objetivos-, y el Órgano de Gobierno supervisa a la Alta Dirección. Por eso, la Alta Dirección debe: (i) asignar recursos necesarios, (ii) asegurar la adopción de procedimientos y su ejecución eficaz, (iii) asegurar el “alineamiento” entre la estrategia y la operación del Compliance con las obligaciones de Compliance, (iv) tener mecanismos de responsabilidad, e.g. medidas disciplinarias ante incumplimientos, (v) asegurar que los empleados también son evaluados según su rol en Compliance, (vi) revisar cada tanto el sistema de Compliance, según KPIs y otros, y ver si cumple objetivos.

Función de Compliance

El encargado principal del Compliance puede ser un individuo o un grupo.
En cualquier caso, el encargado –“la función del Compliance”, según las definiciones de ISO 37301-, debe (i) acceder al alto nivel organizacional, (ii) participar en las decisiones desde el principio, (iii) acceder a cualquier nivel y empleado, (iv) acceder a cualquier información organizacional necesaria, (v) ser asesorado por expertos en normas y estándares.
Como tareas propias principales, la función del Compliance debe: (i) identificar las obligaciones de Compliance, (ii) documentar la evaluación de riesgos de Compliance, (iii) alinear el sistema de Compliance con los objetivos de Compliance, (iv) monitorear y medir el desempeño en Compliance, (v) evaluar el desempeño del sistema de Compliance para determinar si se necesitan acciones correctivas. (vi) establecer un sistema de información y documentación de Compliance. (vii) establecer un canal de denuncias y asegurarse de que se usa adecuadamente. (viii) dar a empleados acceso a información de Compliance, e.g. políticas, procedimientos y procesos. (ix) asesorar a la organización en Compliance.
Como tareas de supervisión frente a tareas ajenas, la función de Compliance debe supervisar: (i) la asignación de responsables sobre obligaciones de Compliance, (ii) la integración de las obligaciones de Compliance con las políticas, procesos y procedimientos. (iii) la formación adecuada del personal. (iv) la adopción de indicadores de desempeño en consideración al Compliance.

La dirección

La dirección y la alta dirección son distintos. Como es obvio, la dirección tiene menor nivel. Frente al Compliance, la dirección debe: (i) cooperar con la función de Compliance y promover la cooperación de los empleados. (ii) asegurar que los empleados cumplen las obligaciones, políticas, procedimientos y procesos de Compliance. (iii) identificar y comunicar los riesgos de Compliance en sus actividades. (iv) integrar las obligaciones de Compliance en la operación. (v) asistir y cooperar con la formación de Compliance. (vi) concientizar al personal sobre las obligaciones de Compliance y verificar su formación. (vii) animar el uso de canales de denuncia e impedir represalias (viii) participar en la solución de incidentes relacionados con Compliance. (ix) garantizar la implementación de acciones correctivas una vez se consideren necesarias.

Los empleados

Los empleados deben cumplir las obligaciones, políticas, procedimientos y procesos de Compliance; informar inquietudes, incidentes o fallas sobre Compliance; y participar en la formación de Compliance.

Planificación

Acciones para abordar los riesgos y oportunidades

En esta etapa, es necesario estudiar: (i) el contexto de la organización, (ii) las expectativas de las partes interesadas, (iii) las obligaciones de Compliance, y (iv) los resultados de la evaluación de riesgos de Compliance.
Así, podrá (i) asegurar que el sistema pueda alcanzar los objetivos, (ii) reducir los efectos indeseados, (iii) mejorar continuamente, (iv) considerar los objetivos de Compliance. (v) integrar e implementar acciones en el sistema, (vi) evaluar la eficacia de sus acciones.

Objetivos de Compliance y planificación para lograrlos

Los objetivos deben: (i) ser coherentes con la política de Compliance, (ii) ser medibles, (iii) cumplir los requisitos de Compliance, (iv) ser monitoreables, (v) ser comunicados, (vi) ser actualizables, y (vii) ser accequibles.
Para determinar la forma como se alcanzarán los objetivos de Compliance, es necesario identificar: (i) qué se hará, (ii) que recursos se usarán, (iii) quién deberá hacerlo, (iv) cuándo lo hará, y (v) cómo se evaluará lo hecho.

Planificación de los cambios

Todo cambio debe ser planificado.

Apoyo

Recursos

Se refiere a los financieros, humanos y técnicos, internos y externos. Se debe identificar cuáles son los necesarios para el sistema de Compliance.

Competencia

Se refiere a la capacidad de las personas con roles de Compliance.
La organización debe: (i) identificar las competencias necesarias de las personas para cumplir esas funciones, (ii) determinar si quienes ya tienen funciones de Compliance cuentan con formación y experiencia suficiente, (iii) promover que las personas adquieran las competencias necesarias y evaluar si esa promoción funciona, (iv) hacer una debida diligencia sobre antecedentes y referencias de candidatos.
Sobre la formación que debe garantizar la organización, ISO 37301 existe que sea: (i) adecuada al rol y riesgo de Compliance de cada uno, (ii) evaluable en su eficacia, (iii) revisada regularmente (iv) adaptable a la falta de conocimiento o competencias, (v) flexible frente a las necesidades de la organización, (vi) proveída por personal experimentado y cualificado, (vii) proveída en el idioma pertinente, (viii) evaluada periódicamente, (ix) enfocada frente a malas prácticas del pasado, (x) impartida ante cambios de posición, responsabilidades, políticas, procesos, procedimientos, estructura organizativa, obligaciones de Compliance, actividades, productos y servicios, y ante reclamaciones, auditorías e incumplimientos de partes interesadas.

Toma de conciencia

De empleados, sobre: (i) política de Compliance -que deben ser disponibles y comprensibles para ellos-, (ii) contribución esperada al sistema de Compliance, (iii) consecuencias ante incumplimientos, (iv) canales de denuncias internas, (v) relevancia de obligaciones de Compliance y política de Compliance para su cargo, (vi) la importancia de la cultura Compliance.
Para eso, la organización debe hacer uso de: (i) formación, (ii) comunicación de la Alta Dirección, (iii) materiales disponibles y comprensibles, (iv) actualizaciones.

Comunicación

Se debe planear, respecto de las comunicaciones: (i) contenido, (ii) cuándo comunicar, (iii) a quién comunicar, (iv) cómo comunicar.
Puede ser cualquier forma, virtual o análoga.
La comunicación debe siempre ser transparente, adecuada, creíble, con “capacidad de respuesta”, accequible y clara.

Información documentada

Se debe documentar: (i) la política de Compliance, (ii) el sistema de Compliance -objetivos, metas, estructura y contenido-, y (iii) la ejecución del sistema de Compliance. También, (iv) procedimiento de Compliance, (v) asignación de roles y responsabilidades, (vi) las obligaciones de Compliance, (vii) los riesgos de Compliance, (viii) la priorización del tratamiento de riesgos, (ix) los incumplimientos, conatos e investigaciones, (x) los planes anuales de Compliance, (xi) los registros personales incluyendo los de formación, (xii) los procesos, calendario y registros asociados de auditoría, (xiii) los requisitos de información regulatorios.
La documentación puede ser digital o análoga, y se debe controlar su disponibilidad y cofidencialidad para proteger el uso inadecuado o pérdida de integridad.

Operación

Planificación y control operacional

Aunque se pueden contrarar a terceros para las actividades de Compliance, la organización debe verificar y controlar la calidad de la actividad -se debe respetar la confidencialidad del aspecto financiero del tercero-. El control incluye una debida diligencia, y la formalización de acuerdos de nivel de servicio o SLAs.

Establecimiento de controles y procedimientos

Ejemplos de controles: (i) políticas operativas, procesos, procedimientos e instrucciones de trabajo documentados, claros, prácticos y fáciles de seguir. (ii) sistemas e informes de excepciones. (iii) autorizaciones. (iv) segregación de roles y responsabilidades incompatibles. (v) procesos automatizados. (vi) planes anuales de Compliance. (vii) planes de desempeño de empleados. (viii) evaluaciones de Compliance y auditorías. (ix) compromiso demostrado de la dirección y comportamiento esperado de los empleados. (x) comunicación acitva, abierta y frecuente sobre el comportamiento esperado de los empleados. (xi) integración de las obligaciones de Compliance en procedimientos -operación-e.g. sistemas informáticos, formularios, sistemas de información, contratos y documentación legal-., (xii) consistencia con otras funciones de revisión y control, (xiii) monitoreo y medición continua, (xiv) evaluación y reporte sobre cumplimiento de procedimientos por empleados, (xv) formas de identificar, informar y comunicar a niveles superiores casos de incumplimiento y riesgos.

Canales de denuncias

A través de ellas se informan infracciones potenciales, sospechosas o reales de la política de Compliance o de obligaciones de Compliance.
Deben ser: (i) visibles, (ii) accequibles, (iii) el reporte debe ser confidencial, (iv) debe aceptar denuncias anónimas (v) debe proteger de represalias, (vi) debe incluir asesoramiento.

Procesos de investigación

Los procesos de investigación de infracciones deben ser: (i) justos e imparciales, (ii) adelantados por alguien independiente y sin conflictos de interés, (iii) el resultado debe luego ser utilizado para mejorar el sistema, (iv) se debe llevar estadísticas y registro de resultados de las investigaciones (v) debe ser documentado, (vi) debe buscar las causas de la infracción.

Evaluación del desempeño

Monitorización, medición, análisis y evaluación

Para establecer el sistema de monitoreo, se debe definir: (i) el objeto de monitoreo, y qué es necesario medir, (ii) métodos de monitoreo, medición, análisis y evaluación que aseguren resultados válidos, (iii) cuándo se hará del monitoreo y medición, (iv) cuándo se analizan, evalúan y comunican los resultados del monitoreo y medición.
Algunos objeto de monitoreo pueden ser: (i) eficacia de la formación, (ii) eficacia de los controles, (iii) eficacia de la asignación de responsabilidades de Compliance, (iv) actualización de las obligaciones de Compliance, (v) eficacia del uso de fallas del sistema previamente identificadas, (vi) cuándo no se hancen las debidas inspecciones internas de Compliance, (vii) incumplimientos y connatos3, (viii) casos de incumplimiento de obligaciones de Compliance, (ix) casos de no alcanzar objetivos, (x) indicadores predictivos y reactivos establecidos.
Análisis y evaluación:
debe ser crítico. Debe enfocarse en las causas de los incumplimiento, la identificación de acciones de respuesta y debe ser periódico. El análisis y evaluación debe incluir el recaudo de opiniones de las partes interesadas sobre el desempeño de Caompliance, por varios canales.
Se debe hacer uso de indicadores para evaluar y cuantificar el logro de los objetivos de Compliance. Ejemplos de indicadores: (i) porcentaje de empleados que recibieron formación eficaz, (ii) frecuencia de contactos con reguladores, (iii) utilización de mecanismos para obtener opiniones, (iv) posibles y reales incumplimientos identificados y comunicados por tipo, área y frecuencia, (v) consecuencias de incumplimientos, e.g. monetarias, sanciones, costos de remedio, pérdida de reputación, coste de tiempo de empleados (vi) tiempo utilizar en informar y tomar acciones correctivas, (vii) riesgos de incumplimientos, medición de pérdida/ganncia potencial de los objetivos a largo tiempo (viii) tendencia de incumplimientos.
Informes:
Se requieren procesos (i) que definen criterios de informes, (ii) plazos para informes, (iii) sistema de informes de excepciones para ayudar información ad hoc, (iv) sistemas y procesos para asegurar la exactitud y completitud de informes, (v) acceso a información exacta y completa, para las personas y áreas afectadas, a fin de tomar rápidamente acciones preventivas y correctivas.
ISO 37301 sugiere como contenido de los informes de Compliance: (i) tema a informar a regulador por la organización, (ii) cambios en las obligaciones de Compliance, su impacto y las propuestas para cumplirlas, (iii) medición del desempeño de Compliance con incumplimientos y mejora continua, (iv) número y detalle de incumplimientos y análisis, (v) acciones correctivas, (vi) información sobre la eficacia del sistema, logros y tendencias, (vii) contactos y desarrollo de las relaciones con reguladores, (viii) resultado de auditorías y actividades de monitoreo, (viii) seguimiento de la ejecución de planes de acción -sobre todo los provenientes de auditorías o requerimientos de reguladores.

Auditoría interna

ISO 37301 exige a las organizaciones tener auditorías internas con intervalos planificados, sobre el cumplimiento de los requisitos del sistema, y su eficaz implementación y mantenimiento. Las auditorías deben ser independientes.

Revisión por la dirección

El órgano de gobierno y la alta dirección deben revisar la idoneidad, adecuación y eficacia del sistema cada tanto. La alta dirección debe revisar: (i) la adecuación de la política de Compliance, (ii) la independencia de la función de Compliance, (iii) la eficacia de los controles e indicadores de desempeño, (iv) el uso del canal de denuncias, y comunicaciones con partes inteesadas, (v) las investigaciones, y (vi) la eficacia del sistema de informes. La revisión debe arrojar decisiones para la mejora continua.

Mejora

No conformidades y acciones correctivas

La no conformidad4 o un incumplimiento5 debe activar: (i) acciones de control y corrección, y la gestión de consecuencias, (ii) evaluación sobre la necesidad de acciones para eliminar las causas, (iii) la implementación de las acciones, (iv) la revisión de la eficcia de las acciones, (v) los cambios al sistemas, (vi) evaluación sobre la eficacia de las políticas y procedimientos.

Mejora continua

Es siempre necesaria, dados los cambios del entorno de las organizaciones. La adecuación y eficacia siempre deben estar evaluándose.

Cuando un estándar ISO se adopta por la Unidad Nacional de Estándares de España -UNE-, el estándar se identifica como “UNE-ISO…”.↩
International Organization for Standarization.↩
Incidentes que no dejan efectos adversos.↩
Incumplimiento de un deber legal obligatoriamente vinculante o “requisitos”.↩
De obligaciones adquiridas voluntariamente o “compromisos”.↩