La norma ISO 19600, sobre Sistemas de Gestión de Compliance, está elaborada con el objetivo de ayudar en el diseño y la implementación de un Sistema de Gestión de Compliance eficaz.
La ISO 19600 es una norma de fácil interpretación en relación a los términos generales sobre todo para aquellas organizaciones que ya cuentan con otros sistemas de gestión implementados y certificados. Esto se debe a que siguen la estructura de Alto Nivel, lo que supone que aquellas organizaciones que ya estén certificadas en ISO 9001 2015 o ISO 14001 2015 o que estén en vías de certificación pueden encontrar similitudes entre ellas simplificando la implementación de las mismas. Esta cuestión no es ningún impedimento para que los diferentes requisitos legales a cumplir, los códigos de conducta a analizar o las herramientas a implantar consideren aspectos distintos de los sistemas de gestión mencionados y tengan un alcance completamente diferente.
Debemos destacar que el término “compliance” no ha sido traducido con el objetivo de evitar que la traducción de cumplimento induzca a error. Pues se incluye tanto los compromisos adquiridos por la empresa como código de conducta u otros compromisos además de los requisitos legales.
Contexto de la organización
En el capítulo 4 de la norma ISO 19600 se aborda el requisito de gestión de los riesgos relacionados con el hecho de que una organización pueda sufrir sanciones administrativas o penales, multas, pérdidas financieras e incluso de reputación por incumplimientos.
Para el establecimiento del proceso de evaluación de riesgos, se puede utilizar como ayuda la norma ISO 31000 que especifica con detalle las directrices para la organización en términos de gestión de riesgos, e incluye las siguientes etapas:
- Establecimiento del contexto. No es eficaz iniciar la identificación, análisis y evaluación de los riesgos sin haber analizado el contexto en el que opera la compañía tanto interna como externamente.
- Evaluación de los riesgos. Incluye la identificación del peligro, la recogida de la información y la evaluación, basándose habitualmente en la gravedad y la probabilidad.
- Tratamiento de los riesgos. Incluye el establecimiento de controles que pueden ser preventivos o una vez ya hayan ocurrido.
De estos aspectos, solo profundizaremos en uno de ellos, el contexto de la organización, ya que es condicionante para el resto.
Gobierno y Estructura de la organización
El primer aspecto que se debe analizar es el Gobierno y Estructura de la organización, entre otros:
- Estructura societaria y de la propiedad, que incluye la forma jurídica.
- Reglamento del Órgano de Administración.
- Si es una organización que pertenece a una corporación, qué tipo de relaciones mantiene con su matriz y el grado de implicación en las decisiones de las estructuras corporativas.
Consideremos ahora la estructura de la organización, teniendo en cuenta aspectos como:
- El tamaño de la organización en número de trabajadores y su perfil, el organigrama de la organización, incluyendo los órganos y comités existentes.
- Los procesos de toma de decisiones, o la relación de personas autorizadas para asumir riesgos, las atribuciones y competencias de los directivos.
Actividad de la organización
El segundo aspecto es la actividad de la organización, desde una perspectiva del contexto. Esto puede tener una gran influencia en los riesgos de una organización, en particular se analizarán:
- Características de la actividad. Desde su objeto social, los productos y servicios que se suministran, los canales de distribución y la implantación geográfica.
- Partes interesadas. Incluyendo las relaciones con la Administración, es decir, las licencias o autorizaciones necesarias para operar, los contratos con las Administraciones Públicas o las ayudas o subvenciones concedidas.
- Procesos operativos y actividades de riesgo. De forma no exhaustiva, actividades con impacto ambiental, recepción o envío de pagos en metálico de forma habitual, manejo de sustancias peligrosas o de materiales que emitan radiaciones ionizantes, manejo de información privilegiada de sociedades no cotizadas, manejo de información privilegiada de sociedades cotizadas o datos personales de personas físicas o cuantas imputaciones haya habido de empleados, directivos o administradores.
Por último, para determinar el contexto, es importante considerar la normativa de aplicación referida tanto a la legislación aplicable, como a las Normas internas, las normas nacionales o internacionales aplicables al sector, las prioridades de las Administraciones Públicas que generan las leyes o las que se dedican a la supervisión.
Con el contexto bien definido podemos identificar los riesgos específicos y aplicables a la organización y los controles necesarios para mantener los riesgos en un nivel aceptable.
A partir de una evaluación de riesgos sólida podemos implantar un sistema de gestión eficaz utilizando las herramientas que nos sean aplicables según nuestro contexto y que se incluyan en ISO 19600.
Tomado de: https://www.isotools.org
No hay comentarios.:
Publicar un comentario