El Cumplimiento Normativo o Compliance es la capacidad que tiene una organización, para mostrar su capacidad de identificar, prevenir y gestionar sus riesgos legales.
La Organización Internacional de Normalización (ISO) ha publicado la Norma ISO 19600 ‘Sistemas de gestión de compliance. Directrices’, que recoge recomendaciones y buenas prácticas para ayudar a las organizaciones a desarrollar un sistema de gestión que les permita identificar, controlar y cumplir con los requisitos legales que le aplican y con otros voluntarios, como códigos de gobierno corporativo. Este es el cuarto post, de una serie de 5 , en los que desgranamos la norma ISO 19600, para que te sea más fácil comprenderla e implantarla en tu organización.
Una vez establecido el “Liderazgo” dentro de la ISO 19600 de “Sistemas de Gestión de Compliance” debemos abordar los apartados de Planificación y Apoyo; así como el de Operación.
Analicemos cada uno de ellos:
6 Planificación
La verdad es que dentro de este apartado no hay nada especialmente difícil de entender aunque su aplicación práctica sí pueda ser comprometida en función del tamaño y características de la Organización.
En primer lugar se especifica que se deben planificar acciones para tratar todos los riesgos y oportunidades que se identificaron y valoraron siguiendo los requisitos del apartado 4. Proceso muy similar al que aplicaríamos desde el punto de vista ambiental siguiendo la ISO 14001 o desde el punto de vista de Seguridad e Higiene siguiendo la OHSAS 18001.
Igualmente se dice que se deben establecer objetivos de compliance en las funciones y niveles pertinentes. Con pura lógica la norma establece que debe determinarse:
- Qué se va a hacer
- Qué recursos se requerirán
- Quién será responsable
- Cuándo se finalizará
- Cómo se evaluarán los resultados
7 Apoyo
Dentro de este apartado tenemos a su vez: recursos, competencia y formación, toma de conciencia, comunicación e información documentada.
7.1 Recursos
Simplemente menciona básicamente que la organización debe determinar y proporcionar los recursos necesarios para el establecimiento, desarrollo, implementación, evaluación, mantenimiento y mejora continua del sistema de gestión de compliance, de acuerdo con su tamaño, complejidad, estructura y operaciones.
7.2 Competencia y formación
No hay nada en este apartado que sea diferente conceptualmente a lo exigido por otras normas. Simplemente deben determinarse los niveles de competencia y formación necesarios para cada empleado y establecer la sistemática para llevarla a cabo y evaluarla.
7.3 Toma de conciencia
Es un apartado especialmente importante para el correcto funcionamiento del sistema y prueba de ello es que la norma le dedica a ello casi 2 páginas.
Viene a decir que si las personas que trabajan en la organización no son conscientes de la política de compliance, de su importancia en el sistema de gestión de compliance y de las implicaciones de no cumplir los requisitos, el sistema jamás podrá funcionar correctamente.
Además especifica que la alta dirección tiene una responsabilidad crucial a la hora de que todos tomen conciencia de la importancia de la cultura de compliance dentro de la organización. Se detallan numerosas acciones específicas que deben ser llevadas a cabo por la alta dirección
Si la dirección no está comprometida a fondo, el sistema de gestión de compliance… ¡jamás funcionará correctamente!
7.4 Comunicación
Como en otros sistemas de gestión, se menciona la necesidad de tener establecidos canales de comunicación internos y externos con diversas partes interesadas como: organismos reguladores, clientes, contratistas, proveedores, inversores, servicios de emergencia, ONGs, vecinos, etc.
Una de las principales dificultades en la aplicación práctica de este requisito es que muchas de las comunicaciones pueden resultar confidenciales o delicadas y el manejo de las mismas tiene consideraciones especiales.
7.5 Información documentada
A lo largo de la norma se van especificando multitud de elementos que deben quedar reflejados como información documentada. Por ejemplo:
- Política de compliance
- Objetivos
- Roles y responsabilidades
- Riesgos
- Registros de formación
- Etc.
Verás que esta norma ya sigue la estructura de alto nivel (ANNEX SL) y ya no se hace mención a Manual, Procemientos, Registros, etc.
Los sistemas de control y actualización de toda esta información deben establecerse, como en cualquier otro sistema de gestión.
Lógicamente, la extensión de la información documentada podrá variar en función del tamaño de la organización, su actividad o procesos, la competencia de las personas o la madurez del sistema de compliance
El apartado 8 del “Sistemas de Gestión de Compliance” según la ISO 19600 es el dedicado a la “operación”. Dentro del mismo se habla de: planificación y control operacional, establecimiento de controles y procedimientos y procesos externalizados. Analicemos cada uno de ellos:
8.1 Planificación y control operacional
Todas las acciones que fueron planificadas según el apartado 6.1 de la norma deben ahora ser ejecutadas mediante procesos concretos. Dicho procesos deben tener definidos:
- Sus objetivos
- Sus criterios
- Su control en función de los criterios
- La información documentada correspondiente
8.2 Establecimiento de controles y procedimientos
Se necesitan controles eficaces para asegurar que se cumplen las obligaciones de compliance y que se previenen, o se detectan y corrigen los incumplimientos. Cuando sea posible los controles deben estar embebidos en los procesos organizativos normales.
Algunos ejemplos de estos controles podrían ser:
- Políticas operativas, procedimientos, procesos o instrucciones de trabajo, claros, prácticos y fáciles de seguir
- Sistemas e informes de excepciones
- Autorizaciones
- Planes de desempeño de empleados
- Evaluaciones de compliance y auditorías
- Etc.
8.3 Procesos externalizados
La norma establece que se debe asegurar que los procesos externalizados son controlados y que se realiza seguimiento de los mismos. En concreto menciona que se deben considerar los riesgos de compliance relacionados con terceras partes tales como el suministro de bienes y servicios o la distribución de productos y se deben establecer controles para ellos.
Este punto es especialmente difícil de cumplir ya que el nivel de autoridad y control que podemos tener sobre otras organizaciones suele ser limitado. La práctica de introducir las obligaciones de compliance en las cláusulas contractuales es conveniente pero en muchas ocasiones no resulta suficiente. Ir más allá mediante códigos de conducta para proveedores e incluso procesos de auditoría a los mismos puede ser efectivo, pero tiene unos costes que no todas las organizaciones están dispuestas a asumir.
La semana próxima terminaremos esta serie, con la que queremos que conozcas más a fondo los Sistemas de Gestión de Compliance, de todas formas, cualquier duda que te surja o cualquier comentario que tengas estaremos encantados de que lo compartas con nosotros.
0 comentarios