Conoce a fondo la Norma ISO 19600 y evita los delitos derivados de la RSC (2ª parte). Sistemas de gestión de compliance

La semana pasada empezamos nuestra serie sobre los «Sistemas de Gestión de Compliance» (conformidad), podéis leer el post de la semana pasada: La reforma del Código Penal prevé delitos derivados de la RSC, evita problemas con la Norma ISO 19600.

Esta norma ISO 19600 de reciente publicación (abril de 2015) denominada “Sistemas de gestión de compliance», le puede servir a tu organización para evitar los posibles problemas derivados de la reforma del código penal, tal y como os explicamos en él, ya que le permitirá detectar y gestionar los riesgos a los que se enfrentan por posibles incumplimientos de sus obligaciones.

¿Qué contiene esta norma?

  • Las directrices para implantar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz y que genera respuesta por parte de la organización.
  • Recomendaciones sobre los elementos con los que una organización debería contar para asegurar que cumple su política de compliance y que tiene capacidad para asumir sus obligaciones en este ámbito.
  • Una explicación de la necesidad de actualizar la formación en materia de compliance, para aquellos profesionales involucrados en este campo cuando se produzcan cambios organizativos, legislativos o en los compromisos con los grupos de interés.
  • Indicaciones sobre la integración del desempeño en compliance en la evaluación del desempeño de los empleados, o supervisión de los acuerdos de contratación externa para asegurarse de que recogen obligaciones en materia de compliance.

Vamos a ir desgranando la norma en este y sucesivos post, que esperamos que te sirvan para conocer un poco más esta herramienta, y hacerte consciente de la importancia de la misma.

El apartado de “Contexto de la Organización” dentro de la ISO 19600 de “Sistemas de Gestión de Compliance” contiene a su vez 6 apartados.

Analicemos cada uno de ellos:

4.1   Comprensión de la organización y de su contexto

La norma establece, con lógica aplastante, que para establecer un sistema eficaz de gestión de Compliance la organización debe conocer y entender el contexto interno y externo, es decir, la organización debe determinar los problemas externos e internos que son relevantes para su propósito y que afectan su capacidad para lograr los resultados deseados.

Con un ejemplo lo verás más claro:

Una empresa inmersa en un ERE (contexto interno) o que desarrolla su actividad en un entorno geográfico inestable política o económicamente (contexto externo) varía enormemente sus riesgos de compliance y ello debe ser tenido en cuenta. Venezuela o Grecia son buenos ejemplos de esto último.

El contexto es por tanto “variable” en el tiempo por lo que su análisis debe ser actualizado de manera continua.

4.2   Comprensión de las necesidades y expectativas de las partes interesadas

La organización debe determinar las partes interesadas que son relevantes para el sistema de gestión de compliance y los requisitos de estas partes interesadas.

Identificar las partes interesadas más relacionadas con la compliance y entender sus necesidades y expectativas no es sencillo pero también es fundamental.

Entre los empleados de la empresa, por ejemplo, habrá seguro diferentes puntos de vista entre el personal comercial, la Dirección de RR.HH., la Gerencia o el personal de Compras. Entre las partes interesadas externas no tendrán nada que ver las expectativas de los accionistas, los proveedores, los clientes, la Administración, etc.

4.3   Determinación del alcance del sistema de gestión de compliance

Es importantísimo entender que, tal como dice la norma en el apartado de definiciones, el alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas, secciones específicas o, una o más funciones dentro de un grupo de organizaciones.

El alcance es por tanto la determinación de los límites geográficos y organizativos a los que se aplicará el sistema.

Para establecerse el alcance debe considerarse lo aprendido en 4.1 y 4.2.

Si no tiene claro el alcance…mejor piénselo de nuevo antes de continuar. Además el alcance debe quedar disponible como “información documentada”.

4.4   Sistema de gestión de compliance y principios de buen gobierno

Para establecer, implementar, mantener y mejorar continuamente el sistema de gestión de compliance se deben considerar los siguientes principios:

  • La función de compliance debe tener acceso directo al órgano de gobierno.
  • La función de compliance debe ser independiente.
  • La función de compliance debe tener autoridad y recursos adecuados.

Que se cumplan estos 3 requisitos no es fácil pero si no se cumplen es más que probable que surjan posteriormente disfunciones en el sistema.

4.5   Obligaciones de compliance

¿Qué es una obligación de compliance? Las obligaciones de compliance no son más que la suma de los requisitos y los compromisos de compliance. Generalizando puede decirse que los requisitos son aspectos obligatorios que la organización debe cumplir, sí o sí, mientras que los compromisos son aspectos que la organización “elige” cumplir.

Ejemplos de requisitos de compliance podrían ser: normas legales, licencias o permisos, sentencias de tribunales, etc.

Ejemplos de compromisos de compliance incluirían: acuerdos con vecinos u ONGs, etiquetado voluntario, procedimientos internos, etc.

La organización debe identificar sistemáticamente sus obligaciones de compliance y actualizarlas ya que serán la base del sistema de gestión de compliance.

Además, las obligaciones de compliance deben documentarse.

4.6   Identificación, análisis y evaluación de los riesgos de compliance

Aunque la definición formal de “riesgo de compliance” es bastante confusa, en la práctica se pueden caracterizar por la probabilidad y las consecuencias de que ocurran incumplimientos de las obligaciones de compliance identificadas en el apartado anterior.

La evaluación correcta de los riesgos de compliance será la base de todo el sistema de gestión (recursos, procedimientos, políticas, etc.) y debe mantenerse actualizada.

Por ejemplo, si una norma interna impide aceptar cualquier tipo de regalo de los proveedores, la evaluación de riesgo de ese compromiso puntual debería analizar las probabilidades de que ello ocurra, así como las causas posibles y las consecuencias.

Realizar este proceso puede resultar laborioso pero si no se hace correctamente, lo más probable, es que la asignación de recursos posterior no sea la adecuada.

Estos 6 requisitos dentro de “contexto” de la organización son básicos para el desarrollo del sistema pero tampoco servirá de nada desarrollarlos correctamente si no existe un liderazgo claro por parte de la Gerencia de la organización con respecto al sistema de gestión de compliance.

Las implicaciones de este liderazgo se encuentran bien detalladas en el apartado 5 de la ISO 19600 y serán analizadas en nuestro próximo post.

Si quieres estar al día y no perderte nada de lo que se publica en este blog, suscríbete.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

¿ Quieres saber más?