Gestión de compliance
ISO 37301

Un Sistema de Gestión del Compliance es una herramienta de carácter preventivo que se implementa en una empresa con el objetivo de prevenir la infracción de normas de carácter penal y evitar posibles sanciones que puedan generar responsabilidad a la empresa.

 

Entre los hechos sancionables que pueden darse en el seno de una empresa encontramos el fraude, los daños informáticos, el blanqueo de capitales, los cambios de precios, los daños al medio ambiente, el robo de información, e incluso delitos de lesiones, acosos o abusos sexuales, etc.

 

Un Sistema de Compliance va a permitir a tu empresa abordar los riesgos y amenazas con eficacia y el hecho de que exista una norma certificable nos asegura la existencia de una referencia normativa común a todos y reconocida internacionalmente. Y es que, cualquier CEO estará más tranquilo si sabe que sus socios, clientes o proveedores ser rigen bajo las mismas reglas que su empresa.

 

La ISO 37301 destaca por:

  • Incluir una orientación adicional que puede ayudar a la implantación de los requisitos.
  • Presentar una estructura de Alto Nivel que la hace integrable con otras normas ISO como, ISO 9001, ISO 14001, ISO 27001, ISO 45001...
  • Convertirse en un punto de referencia para organismos reguladores y agentes judiciales.
  • Ser una herramienta eficaz para cualquier empresa que quiera prevenir riesgos de incumplimiento, manteniendo su integridad
  • Fomentar la cultura de cumplimiento entre el personal a través de la formación y la sensibilización.
  • Evidenciar el compromiso de la alta dirección al tiempo que le ofrece los medios de control adecuados.
  • Al ser certificable, permitir evidenciar ante terceros el compromiso con el cumplimiento puesto que la auditoría será realizada por un tercero independiente. 

Motivación y beneficios

Los Sistemas de Gestión de Compliance sirven para gestionar y controlar diversos riesgos como la protección de datos, la corrupción, pero también riesgos asociados a las violaciones a regulaciones antimonopolio o de carácter laboral y de seguridad y salud en el trabajo. Las organizaciones son responsables de los actos de sus empleados, a menos que implementen Sistemas de Gestión de Compliance. Entre sus principales objetivos está:

  • Mejorar las oportunidades comerciales y la sostenibilidad.
  • Proteger la reputación de la organización.
  • Demostrar el compromiso de una organización para gestionar sus riesgos de cumplimiento de forma eficaz y eficiente, pudiendo certificarse y así garantizar su cumplimiento legal en todas sus operaciones
  • Aumentar la confianza de terceros.
  • Minimizar el riesgo de que se produzca una infracción.

En la práctica, los Sistemas de Gestión de Compliance son requeridos en las organizaciones por dos razones contundentes:

  • Asegurar que los empleados actúan en conformidad con las leyes.
  • Asegurar que, en caso de incumplimiento, las organizaciones no sean sancionadas, o al menos, que la implementación de Sistemas de Gestión de Compliance se considere como un factor atenuante.

ISO 37301 introduce el concepto de “ecosistema de compliance”, que enfatiza que la gestión de compliance requiere elementos comunes, interrelacionados en toda la organización, entre los que se cuentan los objetivos, políticas y principios propios del Sistema de Gestión de Cumplimiento. Aporta flexibilidad y permite a las organizaciones, según su estructura, adecuar la asignación de responsabilidades de acuerdo con sus condiciones particulares. No obstante, aclara que la responsabilidad final de la gestión compliance desde el punto legal reside en la alta dirección.

La Norma ISO 37301 adopta la estructura de alto nivel que permite a todos los modelos de gestión de ISO disponer de estructura y contenidos esenciales comunes, lo que facilita su integración con Sistemas de Gestión de otros ámbitos, como calidad (ISO 9001), Seguridad y Salud Laboral (ISO 45001), Seguridad de la Información (ISO/IEC 27001), etc. así como la integración con sus dos normas hermanas, ISO 37001 Sistemas de Gestión Anticorrupción e ISO 37002 Sistemas de Gestión de la denuncia de irregularidades (Whistleblowing),

Enfoque basado en el riesgo

En este punto, la duda que todos tenemos es qué riesgos debemos incluir en la matriz de riesgos. A título de ejemplo podrían incluirse:

  • Riesgos penales: En relación con estos riesgos, incluiríamos los delitos que generan responsabilidad penal a la persona jurídica (enfoque ad-extra), y además aquellos que, si bien no están incluidos en el catálogo de delitos que generan responsabilidad penal, perjudican a la empresa (enfoque ad-extra), como puede ser el delito de administración desleal o apropiación indebida.
  • Riesgos jurídicos: Podríamos incluir el marco jurídico aplicable a cada organización (protección de datos personales, derecho de la competencia, exportaciones, derecho laboral, normativa ambiental…).
  • Otros riesgos: En función de las actividades de la organización se identificarían otros riesgos, que si bien, no son requerimientos jurídicos, si son necesidades para la organización (seguridad de la información, calidad, responsabilidad social, etc.). Aquí entraríamos en el terreno de la autoregulación.

Aspectos fundamentales

Nuestro servicio

Diseño e implantación

Elaboración y soporte en el desarrollo de los componentes necesarios, como el análisis de contexto, requisitos legales, análiis de riesgos, políticas, procesos, procedimientos, etc. y soporte en la implantación de estos, conforme a lo establecido por la norma ISO 37301. 

Solución SIGE

Parametrización e incorporación de todos los elementos del sistema de gestión en nuestra solución SIGE, pilar fundamental de nuestro servicio, sin que esto suponga coste adicional alguno.

Formación

Formación y capacitación en gestión de compliance, conforme a la norma ISO 37301 y en el manejo y control de la herramienta SIGE. 

Auditoría y soporte

Nos encargaremos de realizar el proceso de auditoría interna de su sistema de gestión de cara a aobtener las evidencias que permitan que afronte el proceso de certificación por parte de la entidad que haya sido seleccionada y prestaremos soporte en la auditoría que dicha entidad realizará, requerida para la obtención de la certificación.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.