2. OBJETIVO DEL CURSO
Compartir con el participante los
conocimientos que le faciliten desarrollar
competencias necesarias para evaluar e
implementar un programa de compliance,
que contribuya en las organizaciones a evitar
o mitigar costos, riesgos y daños por
incumplimiento de leyes, contratos y otras
obligaciones, asegurando su sostenibilidad
en el largo plazo.
3. CONTENIDO
1. Introducción al compliance y cómo
empezar su implementación:
• Antecedentes del marco
regulatorio y normas
internacionales de compliance.
• Conceptos y principios de la
gestión de compliance)
2. Plan de implementación del
compliance:
• Contexto interno y externo de la
organización.
• Alcance del Programa de
Compliance / Obligaciones.
• Gestión de riesgos y
oportunidades de compliance.
3. Implementación de compliance en la
organización:
• Recursos y competencias.
• Toma de conciencia, formación y
comunicaciones
• Gestión de la información documentada.
• Controles y procedimientos
4. Seguimiento, mejora continua del compliance
• Auditoría interna.
• Revisión por la dirección.
• Tratamiento de las no conformidades y
acciones correctivas.
• Mejora continua. Preparación para la
certificación.
Casos prácticos.
4. ¿Qué son las normas ISO?
Conjunto de normas establecidas por el Organismo Internacional de
Estandarización (ISO), para la gestión de una organización en distintos ámbitos. Los
procesos globalizados de la economía, el mercado así como el poder de usuarios y
consumidores, ha propiciado que estas normas de adopción voluntaria hayan ganado
un gran reconocimiento y aceptación internacional.
Se componen de estándares y guías sobre sistemas y herramientas específicas de
gestión aplicables en cualquier tipo de organización, la obtención de una certificación
ISO en alguna de sus normas, garantiza que la organización certificada sigue los
estándares de calidad, seguridad, eficiencia, etc. en sus servicios o productos.
5. Introducción
Transparencia, consenso, imparcialidad, apertura y diversidad, son temas que
preocupan a la sociedad y a las organizaciones para crear normas
relacionadas con ética, responsabilidad social, gobernanza y compliance.
El compliance como norma de la Organización Internacional de Normalización
(ISO), surge en 2014, con la ISO 19600 Sistema de gestión de compliance –
Directrices: recomendaciones en materia de compliance.
El año 2021 se publicó la ISO 37301 Sistema de gestión del compliance.
Requisitos con orientación para su uso (certificable). Visión madura y
evolucionada del compliance: cumplimiento de leyes y compromisos
asumidos de manera voluntaria (incluidos lo de carácter ético).
6. Evolución del Compliance
ISO
19600:2014
SGCO
(Directrices)
ISO / TC 309 (GT4)
Gobernanza de organizaciones
Requisitos de
Compliance
(Legales)
Compromisos de
Compliance
(Voluntarios)
LEGISLACIÓN
(Riesgo Legal / Penal)
BUENAS PRÁCTICAS
(Gestión de riesgos)
MODELOS
DE
Prevención
(Leyes)
DELITOS
ISO
37001:2016
SGCO
(Requisitos)
ISO
37301:2021
SGCO
(Requisitos)
ISO
37002:2021
SGD
(Directrices)
Obligaciones de
Compliance
7. Proceso de desarrollo de la ISO 37301
Propuesta de Australia con
base a AS 3806-2006
Programas de
Compliance.
ISO aceptó la propuesta
(Comité del Proyecto,
ISO/PC 271)
Publicación de
ISO 19600
ISO/TC 309
(WG4) revisó la
ISO 19600
(nuevo número
ISO 37301)
Aprobado el
borrador de
ISO 37301
Aprobación
final y
publicación
2012 2014 2018 2020 2021
8. NTP-ISO 37301
Introducción
Un sistema de gestión del compliance
eficaz y que abarque a toda la
organización permite que ésta
demuestre su compromiso de cumplir
con las leyes, requisitos regulatorios,
códigos de la industria y normas de la
organización, así como con las de
buena gobernanza,
las mejores prácticas generalmente
aceptadas, la ética y las expectativas
de la comunidad.
9. Beneficios de la
ISO 37301
✓ Mejores oportunidades de negocios;
✓ Protección y mejora de la reputación y la
credibilidad de la organización;
✓ Demuestra el compromiso en la gestión de
los riesgos de compliance;
✓ Aumenta la confianza de terceros en la
sostenibilidad de la organización;
✓ Minimiza riesgos de costos financieros y
daños a la reputación.
11. Reglas básicas
del nuevo enfoque
Requisitos
para la
implementación
Capítulo 1 Objeto y Campo de Aplicación
Capítulo 2 Referencias Normativas
Capítulo 3 Términos y definiciones
Capítulo 4 Contexto de la organización
Capítulo 5 Liderazgo
Capítulo 6 Planificación
Capítulo 7 Apoyo
Capítulo 8 Operación
Capítulo 9 Evaluación del Desempeño
Capítulo 10 Mejora
Estructura de la ISO 37301
Hacer
Actuar
Planificar
Verificar
12. Es el cumplimiento de todas las
obligaciones de compliance
(requisitos que una organización tiene
obligatoriamente que cumplir, así
como aquellos que elige cumplir
voluntariamente).
ISO 37301
Definición de
COMPLIANCE
13. MARCO NORMATIVO INTERNACIONAL
País /
Organismo
Norma
Año de
Publicación
USA Foreign Corrupt Practices Act (FCPA) 1977
USA SARBANES OXLEY ACT 2002
ONU Convención de las Naciones Unidas contra la Corrupción 2005
Suiza ACUERDOS DE BASILEA – Basilea III 2017
Reino Unido The Bribery Act 2010
OCDE Good Practice Guidance on Internal Control, Ethics and Compliance 2010
Australia AUSTRALIAN STANDARD AS 3806 1998
USA FEDERAL SENTENCING GUIDELINES 2004
ISO Sistema de Gestión del Compliance ISO 37301 (antes 19600) 2021
14. CONCEPTOS CLAVE
PARTE INTERESADA
Persona u organización que puede afectar, verse
afectada o percibirse como afectada por una decisión
o actividad.
ALTA DIRECCIÓN
Persona o grupo de personas que dirigen y controlan una organización al más alto
nivel.
Nota 1: La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de
la organización.
Nota 2: Si el alcance del sistema de gestión comprende solo una parte de una organización,
entonces alta dirección se refiere a quienes dirigen y controlan esa parte de la organización.
Nota 3: Para los fines de esta norma, el término “alta dirección” se refiere al más alto nivel de la
dirección ejecutiva.
15. CONCEPTOS CLAVE
OBJETIVO
Resultado a lograr.
Nota 1: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas.
Nota 2: Los elementos del sistema de gestión incluyen la estructura de la organización, los roles y
las responsabilidades, la planificación y la operación.
POLÍTICA
Intenciones y dirección de una organización como las expresa formalmente su alta
dirección.
Nota 1: La política también puede ser expresada formalmente por el órgano de gobierno de una
organización.
16. CONCEPTOS CLAVE
SISTEMA DE GESTIÓN
Conjunto de elementos de una organización interrelacionados o que interactúan para
establecer políticas, objetivos y procesos para lograrlos.
Nota 1: Un objetivo puede ser estratégico, táctico u operativo.
Nota 2: Los objetivos pueden referirse a diferentes disciplinas (como las finanzas, la seguridad y
salud y el medio ambiente). Pueden ser, por ejemplo, objetivos que abarquen a toda la organización
o específicos para un proyecto, producto, servicio o proceso.
Nota 3: Un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado previsto,
un propósito, un criterio operativo, un objetivo de compliance, o mediante el uso de términos con un
significado similar (por ejemplo, finalidad o meta).
Nota 4: En el contexto de sistemas de gestión del compliance, la organización establece los
objetivos de compliance, en concordancia con la política de compliance, para lograr resultados
específicos.
.
17. CONCEPTOS CLAVE
RIESGO
Efecto de la incertidumbre en los objetivos.
Nota 1: Un efecto es una desviación de lo esperado, ya sea positiva o negativa.
Nota 2: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la
comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3: Con frecuencia el riesgo se caracteriza por referencia a “eventos” potenciales y
“consecuencias”, o a una combinación de estos.
Nota 4: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias
de un evento (incluidos los cambios de las circunstancias) y la “probabilidad” (como se define en la
Guía ISO 73) asociada de que ocurra.
18. CONCEPTOS CLAVE
RIESGO DE COMPLIANCE
Probabilidad de ocurrencia y las consecuencias del no cumplimiento de compliance
respecto a las obligaciones de compliance de una organización.
OBLIGACIONES DE COMPLIANCE
Requisitos que una organización tiene obligatoriamente que cumplir, así como aquellos
que una organización elige voluntariamente cumplir.
CULTURA DE COMPLIANCE
Valores, ética, creencias y conductas que existen en una organización y que
interactúan con las estructuras y sistemas de control de la organización para
producir normas de comportamiento que conducen al compliance.
19. CONCEPTOS CLAVE
PROCESO
Conjunto de actividades interrelacionadas o que interactúan, que emplean o transforman
elementos de entrada para obtener resultados.
Nota 1: Que el resultado de un proceso se denomine salida, producto o servicio depende del
contexto de referencia.
DESEMPEÑO
Resultado medible.
Nota 1: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
Nota 2: También se puede relacionar con actividades de gestión, procesos, productos,
servicios, sistemas u organizaciones.
.
20. CONCEPTOS CLAVE
REQUISITO
Necesidad o expectativa establecida, generalmente implícita u obligatoria.
Nota 1: “Generalmente implícita” significa que es una costumbre o práctica común para la
organización y para las partes interesadas, que la necesidad o expectativa que se considera está
implícita.
Nota 2: Un requisito especificado es el que está declarado, por ejemplo, en información.
documentada
NO CONFORMIDAD
Incumplimiento de un requisito.
Nota 1: Una no conformidad no es necesariamente un no cumplimiento de compliance.
.
21. CONCEPTOS CLAVE
ACCIÓN CORRECTIVA
Acción para eliminar las causas de una no conformidad (3.16) y evitar que vuelva a ocurrir.
AUDITORÍA
Proceso sistemático e independiente para obtener las evidencias y evaluarlas de
manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de
auditoría.
Nota 1: Una auditoría puede ser interna (de primera parte), o externa (de segunda o tercera
parte), y puede ser combinada (combinando dos o más disciplinas).
Nota 2: Una auditoría interna la que realiza la propia organización o una parte externa en su
nombre.
Nota 3: “Evidencia de auditoría” y “criterios de auditoría” se definen en la Norma ISO 19011.
Nota 4: La independencia se puede demostrar por la ausencia de dependencia de la actividad
objeto de la auditoría o por la ausencia de parcialidad y de conflicto de intereses
22. CONCEPTOS CLAVE
ÓRGANO DE GOBIERNO
Persona o grupo de personas que tienen la última responsabilidad y autoridad en las
actividades, gobierno y políticas de una organización ante quienes la alta dirección (3.3)
informa y rinde cuentas .
Nota 1: No todas las organizaciones, particularmente las organizaciones pequeñas, tendrán un
órgano de gobierno aparte de la alta dirección.
Nota 2: Un órgano de gobierno puede incluir, pero no está limitado a un consejo directivo, comités de
control, consejo de control, directores y supervisores
FUNCIÓN DE COMPLIANCE
persona o grupo de personas con responsabilidad y autoridad para la operación del
sistema de gestión del compliance.
Nota 1: Preferiblemente se asignará la supervisión del sistema de gestión del compliance a un
solo individuo.
23. Fundamentos de la gestión del compliance
Normas y
procedimien-
tos: presentar
todos los
requerimientos
y expectativas
a los
empleados,
como normas
internas y
disposiciones
legales.
Vigilancia:
el rol de una
persona
responsable
para
supervisar la
aplicación de
las normas
es esencial
para
mantener el
compliance.
Formación y
conciencia:
formación
continua y
sesiones de
sensibiliza-
ción ayudan
a los
empleados a
entender los
requisitos de
compliance
en vez de
memorizarlos
Auditoría
interna:
a intervalos
regulares es
elemento clave
del
mantenimiento
de compliance.
Reportes:
cualquier acto
de no
cumplimiento,
delitos o actos
ilegales, deben
ser reportados
inmediatamente
a la persona
responsable.
Persuasión y
disciplina:
definir
acciones
disciplinarias
para cualquier
incumplimiento
intencional de
las
obligaciones
de
compliance.
Respuesta y
prevención:
abordar las
infracciones de
las
obligaciones de
compliance
respondiendo
inmediata-
mente.
24. Principios de la gestión del compliance
Integridad:
Valores y la
apropiada gestión
de compliance
para salvaguardar
la probidad de la
organización.
Principio
consagrado en
las políticas
internas,
procedimientos,
prácticas diarias y
transacciones.
Buen gobierno: toma de decisiones basada en normas, comportamientos, cultura y
procesos creados que se mantienen para entregar valor consistente a las partes
interesadas.
Proporcionalidad: naturaleza y extensión de los riesgos de compliance tomados en
cuenta al establecer un SGCO. Disciplinando violaciones caprichosas o negligentes
de compliance, con acciones correctivas proporcionales a los no cumplimientos.
Transparencia: la organización es transparente con respecto a la manera en la que
las decisiones son tomadas, implementadas y revisadas.
Responsabilidad: todos en la organización son responsables en lo relativo a su rol y
responsabilidades. El último responsable en la efectividad del SGCO, son el órgano
de gobierno y la alta dirección.
Sostenibilidad: compliance es parte de la cultura que es reforzada continuamente
proporcionando los recursos necesarios para el mantenimiento y mejora continua del
SGCO que promueve una cultura de compliance a todo nivel.
26. Aspectos que se deben considerar para la
implementación
1) Cumplimiento
de las fechas
establecidas en
el cronograma de
implementación
2) Nivel de
madurez de los
procesos
3) Alcance de la
implementación
4) Aplicación de
leyes,
regulaciones y
controles
5) Apoyo de la
alta dirección.
27. Enfoques para una propuesta de implementación
1) En en el negocio:
contexto de las actividades
comerciales de la
organización
2) En los sistemas: toda la
implementación sin aislar
ciertos procesos
3) Sistémico: aplicación de
las mejores prácticas de
gestión de proyectos
4) Integrado: con otros
sistemas de gestión o
requerimientos
establecidos por la
organización
5) Iterativo:
implementación rápida del
SGCO adhiriéndose a los
requisitos mínimos de la
norma y luego proceder a
la mejora continua.
28. Aplicación del enfoque de la propuesta de
implementación
Evitar la integración de nuevas tecnologías
Integrar el SGCO en procesos existentes
Aplicar el principio de mejora continua
Involucrar a las partes interesadas
en la organización
Obtener el apoyo de la
alta dirección
29. Planteamiento del proyecto de implementación
1) Una
herramienta para
apoyar la toma de
decisión
2) Un documento
para promover la
implementación
del proyecto
3) Una manera
de definir
claramente los
objetivos
La implementación del SGCO incurre en costos que deben ser justificados ante la alta
dirección y la JD.
El planteamiento del proyecto de implementación del SGCO con base a la ISO 37301,
puede ser una herramienta útil para que la alta dirección y la JD tomen la decisión. Un caso
de negocio es:
30. Creación de un caso de negocios
Preguntas a las que se debe responder:
¿Cuál es el propósito del proyecto?
¿Cuáles son las soluciones que serán estudiadas?
¿Porqué es seleccionada una solución en particular?
¿Cuánto cuesta la solución? ¿Quién es responsable de este proyecto?
¿Cómo afecta este proyecto a la organización?
31. Componentes del caso de negocio
Los 5 componentes de un caso de negocio son:
Los objetivos del proyecto y su alienación con la estrategia de
la organización
Las opciones consideradas
La solución seleccionada
Los recursos necesarios
El proyecto de implementación
32. Lo que se incluye en el caso de negocios
a) Descripción del negocio, necesidades y objetivos que el SGCO pretende cubrir
b) Alcance propuesta para el SGCO
c) Restricciones y supuestos que afectarían el SGCO o su implementación
d) Beneficios cualitativos y cuantitativos del SGCO, incluyendo:
• Reducción de riesgos de no cumplimiento
• Cambios en los procesos y carga de trabajo
• Capacidad para visibilizar el apoyo a la estrategia del negocio con oportunidades
de mejorar la eficiencia en todas las áreas, principalmente en mejorar los costos,
la calidad y la adaptabilidad
• Cumplimiento legal y regulatorio
• Ahorros de costo potenciales
• Beneficios directos o indirectos, como satisfacción de los clientes y el personal, y la
reducción de riesgos para el negocio
• Retorno de la inversión.
33. Lo que se incluye en el caso de negocio(continuación)
e) Costos, incluyendo:
• Estimación de recursos (requerimientos de personal, financieros y tecnológicos)
• Costo del uso de recursos externos
f) Evaluación de riesgos y recomendaciones para la gestión de riesgos considerando
riesgos de cambio organizacional, financieros y técnicos
g) Descripción de cómo deberán ser evaluados los costos y beneficios de la
implementación del SGGO
h) Recomendaciones de la evaluación de conformidad formal e independiente
i) Cronograma
j) Partes interesadas que estarán involucradas o afectadas por la implementación del
SGCO
k) Términos de referencia propuestos
l) Apoyo, compromiso y gestión del proyecto.
34. GESTIÓN DE PROYECTOS
ISO 9000
(cláusula 3.4.2)
Proyecto
•Proceso único que consiste
en un conjunto de
actividades coordinadas y
controlados con fechas de
inicio y de finalización, con
el fin de lograr un objetivo
de acuerdo con
requerimientos
específicos, gestionando el
tiempo, costos y recursos.
ISO 9000
(cláusula 3.3.11)
Actividad
•Objeto pequeño de trabajo
identificado en un proyecto
ISO 9000
(cláusula 3.3.12)
Gestión de proyecto
•Planificación, organización,
monitoreo, control y
reporte de un proyecto y
motivación de todos los
involucrados en el logro de
los objetivos del proyecto.
DEFINICIONES
35. GESTIÓN DEL PROYECTO POR EL PERSONAL vs.
CONSULTORÍA EXTERNA
- Conocimiento de la cultura, valores
y creencias en la organización
- Conocimiento de los procesos
existentes
- Habilidad para utilizar el
conocimiento de la organización
- Sesgos
- Potencial desconocimiento de
prácticas y técnicas utilizadas por
otras organizaciones
- Puede requerir del ensayo y error
- Puede ser más costoso y consumir
más tiempo del personal de la
organización
- Visión imparcial de los procesos
existentes en la organización
- Experticia con soporte en el
conocimiento, las buenas prácticas y
tendencias en la industria
- Puede proveer el servicio a un costo
bajo para la organización.
- Dificultad para entender la cultura y
la dinámica de las relaciones entre
los diferentes niveles de la
organización
- Puede ser visto como una trampa
por los empleados
- Puede estar limitado por
circunstancias no previstas o
limitaciones contractuales.
VENTAJAS DESVENTAJAS
EMPLEADOS
CONSULTORÍA
EXTERNA
36. MARCO METODOLÓGICO PARA LA GESTIÓN DE LA
IMPLEMENTACIÓN
APOYO DE LA ALTA
DIRECCIÓN
- Liderazgo y
compromiso
- Política de compliance
- Roles,
responsabilidades y
autoridad
PLANIFICACIÓN DEL
SGCO
- Contexto de la
organización
- Identificación de las
necesidades de las
partes interesadas
- Alcance del SGCO
- Riesgos, oportunidades
y objetivos del SGCO
APOYO
- Recursos,
competencias y proceso
de empleo
- Toma de conciencia y
comunicación
- Gestión de la
información
documentada
OPERACIÓN
- Controles y
procedimientos
EVALUACIÓN DEL
DESEMPEÑO
- Seguimiento, medición,
análisis y evaluación
- Auditoría interna
- Revisiones por la
dirección
MEJORA
- No conformidades y
acciones correctivas
- Mejora continua.
PLANIFICAR VERIFICAR
HACER ACTUAR
37. ENFOQUE Y METODOLOGÍA DE IMPLEMENTACIÓN
• El enfoque basado en riesgos tiene en cuenta los riesgos en vez de
intentar preverlos como un elemento independiente al Sistema de
Gestión.
• El enfoque basado en procesos enfatiza que los resultados que se
desean obtener se pueden alcanzar de forma más eficiente, ejerciendo
control sobre el conjunto de actividades.
METODOLOGÍA:
• Reuniones del equipo implementador con la persona encargada del
proyecto para revisar los requisitos a ser implementados de acuerdo
con la norma.
• Revisión de documentos y registros relacionados con el SGCO
• Entrevistas con el personal clave y el que se requiera para identificar
riesgos, oportunidades y partes interesadas.
• Elaboración de los Informes de avance en forma periódica.
ENFOQUE:
38. EQUIPO IMPLEMENTADOR
• Persona encargada del proyecto
de implementación, conocedora
de algún Sistema de Gestión y de
los procesos de la organización.
• Gerente del proyecto
(Implementador líder) y uno o más
asistentes, según el tamaño de la
organización.
COMPOSICIÓN DEL EQUIPO:
39. FUNCIÓN DE COMPLIANCE
• Facilitar la identificación de las obligaciones de compliance;
• documentar la evaluación de los riesgos de compliance;
• alinear el sistema de gestión del compliance con los objetivos de
compliance;
• medir y hacer seguimiento del desempeño del compliance;
• analizar y evaluar el desempeño del sistema de gestión del compliance;
para identificar cualquier necesidad de acción correctiva;
• establecer un sistema de información y documentación del compliance;
• asegurarse de que el sistema de gestión del compliance se revise a
intervalos planificados;
• establecer un sistema para plantear inquietudes y asegurar que se
aborden las inquietudes.
Responsabilidades:
40. FUNCIÓN DE COMPLIANCE
• Las responsabilidades para lograr las obligaciones de compliance
identificadas se asignen de forma adecuada en toda la organización;
• las obligaciones de compliance estén integradas en las políticas, los
procesos y los procedimientos;
• todo el personal pertinente esté formado como corresponda;
• estén establecidos indicadores de desempeño.
Debe proporcionar:
• El acceso al personal a los recursos relacionados con las políticas, los
procedimientos y los procesos de compliance;
• el asesoramiento a la organización en materias relacionadas con
compliance.
Debe ejercer vigilancia sobre:
41. FUNCIÓN DE COMPLIANCE
• Los tomadores de decisiones de alto nivel y a la oportunidad de
contribuir en etapas tempranas de los procesos de toma de decisiones,
• todos los niveles de la organización;
• todo el personal, información documentada y datos necesarios;
• el asesoramiento experto en legislación, normativa, códigos y normas
organizacionales pertinentes.
Asegurarse de que se le ha dado acceso a:
42. CRONOGRAMA
• Elaborar el cronograma de la implementación utilizando herramientas
de control de proyectos o el diagrama Gantt
• Establecer las fechas estimadas de cada actividad así como los
entregables
• Comenzar con un kick-off para dar a conocer el proyecto a la gerencia y
personal clave de la organización. La siguiente actividad debe ser un
curso de interpretación de la norma para este personal.
Enero Febrero Marzo Abril Mayo Junio
Diagnósitico de brechas X
Capacitación en el Sistema
de Gestión (SG)
X
Análisis de contexto, partes
interesadas y riesgos
X
Diseño e implementación del
SG
X X X
Verificación: revisión por la
dirección y auditoría interna
X
MESES
ACTIVIDADES
43. Reunión de inicio del proyecto
El propósito de la reunión de inicio del proyecto es:
Informar sobre el proyecto de implementación del SGCO a las personas clave de la organización, haciendo una
breve presentación del objetivo, la importancia y de cómo se desarrollará el proceso de implementación
Dar a conocer el cronograma del proyecto de implementación, destacando la importancia de cumplir con las fechas
establecidas
Responder a las interrogantes que puedan surgir con respecto al proceso del proyecto de implementación.
Celebrar la reunión de
inicio del proyecto con la
alta dirección, personas
clave responsables de
las funciones o procesos
que se estarán
involucradas en el
proceso de
implementación.
La información del grado de
detalle de las actividades que
se llevarán a cabo, depende
de la magnitud del proyecto y
las áreas involucradas.
Debe conservarse el
registro de los asistentes
a la reunión de inicio del
proyecto.
44. RECOPILACIÓN DE INFORMACIÓN
• Observar las operaciones, sistemas y personal
involucrado con el finde entenderlo
• Enviar cuestionarios a los grupos de personas que
representan las partes interesadas
• Conducir entrevistas a personas clave de diferentes
niveles jerárquicos dentro de la organización
• Leer y analizar la información documentada relevante
(políticas internas, procedimientos, últimos informes de
auditoría, contratos)
Observación
Cuestionarios
Entrevistas
Revisión de
información
documentada
45. IDENTIFICACIÓN DE BRECHAS
DIAGNÓSITICO DE BRECHAS:
• El punto de partida o línea base de la implementación se determina con
el diagnóstico para la identificación de brechas, se revisan con un “chek
list” los requisitos de la norma y el grado en que la organización cumple
con ellos al comenzar la implementación.
• Elaborar el informe de diagnóstico.
46. EJEMPLO PARA LA IDENTIFICACIÓN DE BRECHAS
Diagnóstico del SGCO-ISO 37301
Factores Valoración
Compromiso de la Alta Dirección
Política 0
Roles y responsabilidades 3
Función de compliance 2
Riesgos de compliance
Evaluación de los riesgos de compliance 2
Competencia y Controles
Competencia 3
Controles y procedimientos 3
Planteamiento de inquietudes 3
Cultura y Comunicación
Cultura de compliance 1
Formación y sensibilización 1
Comunicación 0
Seguimiento y Medición
Objetivos de Compliance / Indicadores 1
Auditoría Interna 0
48. ÓRGANO DE GOBIERNO Y ALTA DIRECCIÓN
La implementación del SGCO
requiere un compromiso activo del
órgano de gobierno y de la alta
dirección, que permee a toda la
organización
Es vital para el SGCO que el
órgano de gobierno y la alta
dirección demuestren clara y de
manera visible su compromiso
para logar el objetivo de
implementar el SGCO
Un hecho de no cumplimiento de
compliance que se produzca en la
organización, puede resultar en un
impacto negativo como daño a la
reputación, pérdidas financieras
significativas y sanciones penales
para los infractores.
49. MEJORES PRÁCTICAS DEL COMPROMISO POR PARTE DE
LA ALTA DIRECCIÓN
Compromiso declarado de lo alto: El Directorio garantiza que la gerencia, los empleados y las
partes interesadas, conocen su compromiso con la política de compliance y el SGCO. Esto incluye
realizar compromisos de alto perfil, tanto internos como externos, en valores éticos y en estar
comprometidos con este SG..
Cumplimiento de las leyes: la organización se compromete a cumplir con las leyes y regulaciones
pertinentes, y tiene un procedimiento para ello. Puede parecer superfluo afirmar que una
organización debería cumplir con las leyes, pero hacerlo como un compromiso explícito, enfoca la
atención en el cumplimiento que es complejo y requiere de un proceso sistemático para lograrlo.
Responsabilidad y transparencia: el Directorio es responsable ante los accionistas y otras partes
interesadas sobre qué tan bien la compañía está cumpliendo con sus compromisos de hacer
negocios con ética.
Conocimiento y vigilancia: la alta gerencia garantiza que está informada y vigilante sobre los
riesgos de compliance, problemas emergentes, avances en las mejores prácticas y cambios a la
legislación pertinente, así como del diseño e implementación del SGCO.
50. Cualificado: el Directorio está adecuadamente informado para cumplir con sus
responsabilidades relacionadas con la política de compliance.
Asignación clara de responsabilidades: la junta garantiza que la autoridad y las
responsabilidades de la implementación del SGCO se asigna claramente a toda
la organización.
Supervisión independiente: evaluación independiente de la implementación del
SGCO proporcionado por directores no ejecutivos a través de un subcomité de
la junta directiva que supervisa el compromiso con la ética y la integridad.
Enfoque de riesgo: la junta decide el enfoque de riesgo para el compliance.
MEJORES PRÁCTICAS DEL COMPROMISO POR PARTE DE LA ALTA
DIRECCIÓN
51. Organizacional: debe asignarse responsabilidades claras para la implementación del
SGCO, estableciendo procedimientos y estructuras organizativas de apoyo.
Revisión: Contrarrestar el no cumplimiento de compliance debe ser un tema
permanente en la agenda del Directorio y la gerencia, debiendo recibir revisiones
periódicas sobre la implementación del SGCO y los cambios constantes del entorno
externo, nuevas leyes, prácticas emergentes, cambios sociales y nuevas tecnologías.
Conocimiento de los riesgos legales para directores y funcionarios: los directores deben
ser conscientes de los crecientes riesgos penales y civiles para directores y funcionarios
relacionados con los no cumplimientos de compliance.
MEJORES PRÁCTICAS DEL COMPROMISO POR PARTE DE LA ALTA
DIRECCIÓN (continuación)
52. NOMBRAMIENTO Y SOPORTE A LA
FUNCIÓN DE COMPLIANCE
Nombrar y asignar a
la función de
compliance,
responsabilidad y
autoridad para
supervisar el diseño
e implementación del
SGCO
Asignar a esta
función a la persona
o personas que
tengan la
competencia
apropiada y dotarle
de los recursos
suficientes
La función de
compliance debe
tener acceso directo
y rápido al órgano de
gobierno y a la alta
dirección.
53. Órgano de gobierno y alta dirección
El órgano de gobierno y la alta dirección deben demostrar liderazgo y
compromiso con respecto al SGCO:
— asegurando que se establezcan la política de compliance y los objetivos que estos
sean compatibles con la dirección estratégica de la organización;
— asegurando la integración de los requisitos del SGCO en los procesos de negocio
de la organización;
— asegurando que los recursos que se necesitan para el SGCO están disponibles;
— comunicando la importancia de una gestión del compliance eficaz y conforme con
los requisitos del SGCO;
— asegurando que el SGCO logre sus resultados previstos;
— dirigiendo y apoyando a las personas, para contribuir a la eficacia del SGCO;
— promoviendo la mejora continua;
— apoyando a otros roles pertinentes a demostrar su liderazgo en sus
correspondientes áreas de responsabilidad.
54. Órgano de gobierno y alta dirección
El órgano de gobierno y la alta dirección deben:
— establecer y defender los valores de la organización;
— asegurar que se desarrollan e implementan políticas, procesos y procedimientos para alcanzar
los objetivos de compliance;
— asegurar que se les informa de manera oportuna de las cuestiones relacionadas con
compliance, incluidos los casos de no cumplimiento de compliance, y asegurar que se toman las
acciones adecuadas;
— asegurar que se mantiene el compromiso de compliance y que se gestionan adecuadamente
los no cumplimientos de compliance y los comportamientos contrarios a compliance;
— asegurar que se incluyen las responsabilidades de compliance en las descripciones de los
puestos de trabajo según corresponda;
— designar o nominar una función de compliance;
— asegurar que se establece un sistema para el levantamiento y el tratamiento de inquietudes.
55. Cultura de compliance
Debe desarrollar, mantener y promover una cultura de compliance a todos los niveles
de la organización.
El órgano de gobierno, la alta dirección y la dirección deben demostrar un compromiso activo,
visible, consistente y sostenido con un estándar común de comportamiento y conducta que se
requiere en toda la organización.
La alta dirección debe fomentar comportamientos que creen y apoyen el compliance. Debe evitar y
no tolerar comportamientos que comprometan el compliance.
56. La cultura de integridad
“Las organizaciones están cada vez más
convencidas de que si aplican valores vinculantes y
una gestión adecuada del compliance, pueden
salvaguardar su integridad y evitar o minimizar los
no cumplimientos de compliance con las obligaciones
de compliance de la organización. Integridad y un
compliance eficaz son, por tanto, elementos clave
para llevar una buena y diligente gestión. El
compliance también contribuye al comportamiento
socialmente responsable de las organizaciones”.
(Introducción ISO 37301)
57.
58. Gobernanza del compliance
El órgano de gobierno y la alta dirección deben asegurar que se implementan los
siguientes principios:
— el acceso directo de la función de compliance al órgano de gobierno;
— la independencia de la función de compliance;
— la autoridad y la competencia adecuadas de la función de compliance.
60. Elaboración de la Política de Compliance
Establecer el
criterio que
debe cumplir la
política de
compliance
Seguir el
proceso para
un borrador de
la política de
compliance
Obtener la
aprobación de la alta
dirección y del
órgano de gobierno
del borrador de la
política de
compliance
Publicar y
desplegar la
política de
compliance
Comunicar la
política de
compliance
Control,
evaluación y
revisión de la
política de
compliance.
61. El órgano de gobierno y la alta dirección deben establecer una política de
compliance que:
a) sea adecuada al propósito de la organización;
b) proporcione un marco de referencia para el establecimiento de los objetivos de compliance;
c) incluya el compromiso de cumplir los requisitos aplicables;
d) incluya el compromiso de mejora continua del SGCO.
Política de compliance
62. Política de compliance
La política de compliance debe:
— estar alineada con los valores, objetivos y estrategia de la organización;
— requerir el cumplimento de las obligaciones de compliance de la organización;
— apoyar los principios de la gobernanza del compliance;
— hacer referencia a la función de compliance y describirla;
— resumir las consecuencias de no cumplir con las obligaciones de compliance, las políticas, los
procesos y los procedimientos de la organización;
— fomentar el planteamiento de inquietudes y prohibir cualquier tipo de represalia;
— estar escrita en un lenguaje sencillo de forma que todo el personal pueda entender fácilmente los
principios y su intención;
— implementarse y hacerse cumplir de forma adecuada.
— estar disponible como información documentada;
— comunicarse dentro de la organización;
— estar disponible para las partes interesadas, según corresponda.
64. CONTEXTO INTERNO Y EXTERNO
• Tomando como base la documentación de la organización y entrevistas,
se elabora un cuadro con el contexto interno y externo en la
implementación, el que debe ser revisado periódicamente.
• Los documentos de referencia son: Informe o memoria anual, estatutos,
informes de auditoría, página web.
Considerar una gran variedad de cuestiones, que incluyen, pero no se
limitan a:
• el modelo de negocio, que incluye la estrategia, la naturaleza, el tamaño y el
nivel de complejidad y sostenibilidad de las actividades y operaciones de la
organización;
• la naturaleza y el alcance de las relaciones comerciales con terceras partes;
• el contexto legal y regulatorio;
• la situación económica;
• los contextos social, cultural y ambiental;
• las estructuras, políticas, procesos, procedimientos y recursos internos,
incluyendo la tecnología;
• su cultura de compliance.
65. PARTES INTRESADAS AL SGCO
• Las partes interesadas pertinentes al
SGCO son identificadas por los
responsables de cada área en la
organización.
• Establecer los requisitos pertinentes de
las partes interesadas relevantes que se
hayan identificado.
• Determinar cuáles de los requisitos se
abordarán en el SGCO y los mecanismos
de control para dar cumplimiento.
66. Matriz de Poder/Interés de las Partes Interesadas
PODER
INTERÉS
Alto
Alto
Bajo
Bajo
MONITOREAR
MANTENERLO
INFORMADO
MANTENER
SATISFECHO
GESTIONAR DE
CERCA
67. Identificación de los procesos y actividades clave
Activos clave de la
organización
Procesos clave para
lograr la misión de la
organización
Actividades para
ofrecer sus productos o
servicios
68. ALCANCE DEL SGCO
• Determinar los límites y aplicabilidad del SGCO, considerando:
✓ Contexto 4.1
✓ Necesidades y expectativas de las partes interesadas 4.2
✓ Obligaciones de compliance 4.5 y Evaluación de riesgos 4.6.
IMPORTANCIA:
Una clara definición del alcance es un factor importante para el éxito de la
implementación del SGCO, facilitando:
• Identificar los principales riesgos de compliance
• Determinar los límites geográficos, organizacionales o ambos, a los que el SGCO
aplicará
• Alentar el apoyo de las partes interesadas para la implementación del proyecto
• Justificar el valor agregado para las partes interesadas.
ALCANCE:
69. Definición de límites
Concepto ¿Qué se incluye? ¿Qué se excluye?
Propiedades / Ubicación
Edificaciones
Operaciones / actividades
Límites físicos
Concepto ¿Qué se incluye? ¿Qué se excluye?
Procesos
Estructura organizacional
Personal / funciones
Límites organizacionales
70. Los límites de la organización
Debe considerarse lo siguiente:
• Unidades de la organización: Departamentos, proyectos, subsidiarias, etc.
• Estructura y responsabilidades de los gerentes
• Procesos de negocio: Ventas, Administración y Finanzas, Logística, etc.
Un método eficiente es evaluar la responsabilidad de quienes toman decisiones y sus áreas
de influencia dentro de la organización.
Los resultados de este análisis son:
La descripción de los límites de la organización con la documentación que justifique las
excepciones
Descripción de la estructura organizacional incluida en el SGCO
Identificación de los procesos de negocio con la información de sus activos (con sus
respectivos dueños)
Identificación de la dirección en la toma de decisiones y procesos
71. Determinación de la aplicabilidad de los requisites
de la ISO 37301
La organización requiere definir si
todos los requisitos de la ISO 37301
son aplicables en el alcance
determinado para el SGCO
Se puede revisar la aplicabilidad de los
requisitos con base al tamaño y
complejidad de las operaciones de la
organización, el modelo de gestión que
ha adoptado, el rango de sus
actividades y la naturaleza de los
riesgos y oportunidades identificados.
72. Determinación del alcance
La organización debe determinar el alcance para el SGCO de manera y en
términos adecuados a su tamaño, naturaleza y complejidad.
El alcance debería ser:
•Tan simple como sea posible
•Comprensible para las partes externas y aquellos dentro de los que tienen
conocimiento limitado a cerca de la organización
•Suficientemente preciso para mostrar lo que cubre el SGCO, si la organización
desea ir a un proceso de certificación formal.
NOTA:
El proceso para determinar el alcance del SGCO se completa a nivel de la alta dirección;
pueden ser asistidos por expertos en materia de alcance, tales como consultores o analistas
de negocio.
73. Cambios en el alcance
El alcance puede cambiar a través del tiempo mientras el SGCO continúa
permitiendo que la organización alcance sus objetivos de compliance.
Los cambios pueden ser hechos como resultado de:
•Extender el alcance a otras unidades de la organización
•Cambios en el contexto externo (legal, competitivo, tecnológico)
•La consideración de nuevos escenarios de riesgos de compliance.
Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado.
74. Los requisitos con
los que una
organización debe
cumplir
obligatoriamente
pueden incluir:
Obligaciones de compliance
— sentencias de cortes o tribunales administrativos;
— tratados, convenciones y protocolos.
— acuerdos con grupos comunitarios u organizaciones no gubernamentales;
— acuerdos con autoridades públicas y clientes;
— requisitos organizacionales, como políticas y procedimientos;
— principios o códigos de práctica;
— etiquetado o compromisos medioambientales.
Los requisitos que una organización elige cumplir voluntariamente pueden ser:
— obligaciones derivadas de acuerdos contractuales;
— normas organizacionales e industriales pertinentes.
75. Identificar
sistemáticamente
las obligaciones de
compliance como
resultado de las
actividades,
productos y
servicios.
Evaluar el impacto
de éstas en las
operaciones.
Obligaciones de compliance
Debe disponerse de procesos para:
— identificar obligaciones de compliance nuevas y
modificadas para asegurar un cumplimiento continuo;
— evaluar el impacto de los cambios identificados e
implementar cualquier cambio necesario en la gestión
de las obligaciones de compliance.
Conservar la información documentada sobre sus
obligaciones de compliance.
76. — leyes y
reglamentos;
— permisos, licencias
y otras
autorizaciones;
— órdenes, reglas u
orientaciones
emitidas por agencias
reguladoras
Obligaciones de compliance
El marco de un SGCO es estructural: la infraestructura necesaria
sobre la que se construye este sistema.
Es necesario hacerlo operativo implementando políticas,
procesos y procedimientos.
Mantener y mejorar continuamente el SGCO que tiene muchos
elementos.
Algunos elementos del SGCO se diseñan para apoyar
comportamientos deseados, otros para evitar comportamientos
no deseados
Otros elementos sirven para realizar un seguimiento del desempeño del
compliance o emitir alertas ante no cumplimientos de compliance.
77. Los procesos para
obtener
información sobre
cambios en leyes
y en otras
obligaciones de
compliance
pueden incluir:
Obligaciones de compliance
— estar en las listas de distribución de los reguladores pertinentes;
— ser miembros de grupos profesionales;
— suscribirse a servicios de información pertinentes;
— asistir a foros de la industria y seminarios;
— revisar las páginas web de los reguladores;
— mantener reuniones con los reguladores;
— llegar a acuerdos con asesores legales;
— revisar las fuentes de las obligaciones de compliance
(pronunciamientos regulatorios y sentencias judiciales).
Identificar las obligaciones por departamentos, funciones y diferentes tipos de actividades
organizacionales para determinar quiénes se ven afectados por las obligaciones de compliance.
78. Registro de obligaciones de compliance
Ejemplo
Legislación Descripción de la obligación Comentario de gobernanza Responsable
Impuesto a los salarios La ley impone un impuesto a los salarios a partir de
determinado monto
Obligación de retener impuestos
sobre la nómina de todos los salarios
imponibles, declarar y pagar
mensualmente al SENIAT.
Contador
Seguro social La ley establece la administración de la seguridad social y
obligación de informar las incorporaciones de nuevos
empleados que deben ser registrados en el seguro social.
Obligación de reportar mensualmente
al Seguro Social, las nuevas
incorporaciones y los retiros de
personal.
Jefe de R.H.
Protección de la familia La ley protege a la familia haciendo nulo el despido de
mujeres embarazadas, con hijos recién nacidos o en
período de lactancia. Haciendo nulo el despido que se
produce en cualquier momento del periodo de gestación o
dentro de los 90 días posteriores al nacimiento.
Obligación de cumplir con la
protección de la familia desde la
gestación. Queda prohibido despedir
al personal femenino que se
encuentre en estado de embarazo o
lactancia hasta 90 días después del
nacimiento.
Jefe de R.H.
79. RIESGOS, OPORTUNIDADES Y OBJETIVOS DE
COMPLIANCE
1. Identificación de riesgos y oportunidades
2. Análisis de riesgos y oportunidades
3. Evaluación de riesgos y oportunidades
4. Objetivos de compliance
5. Acciones para el tratamiento de riesgos y
oportunidades
80. IDENTIFICACIÓN DE LOS RIESGOS DE COMPLIANCE
Los riesgos identificados son clasificados por proceso / área,
describiendo el riesgo en cada caso.
Elaborar una matriz que incluya lo siguiente:
•Causas y consecuencias que puedan tener los escenarios de riesgo identificados
•Definir la Probabilidad de que se materialice el riesgo
•Establecer el Impacto del riesgo en la organización
•Determinar los criterios de riesgo, escala de valores del impacto y la probabilidad,
elaborando un procedimiento. Se puede incluir la vulnerabilidad y velocidad.
•Controles existentes
•Proceder a establecer los planes de acción para mitigar los riesgos.
Identificar las oportunidades para el SGCO, clasificarlas por área:
•Establecer los beneficios potenciales de cada oportunidad, el tratamiento que ser le
va a dar y el plan de seguimiento.
81. EJEMPLO DE LA MATRIZ DE RIESGOS Y
OPORTUNIDADES DE COMPLIANCE
IDENTIFICACION DEL RIESGO
N°
PROCESO / ÁREA DESCRIPCIÓN DEL RIESGO
CAUSA DEL RIESGO CONSECUENCIA DEL RIESGO
EVALUACIÓN DEL RIESGO
ANÁLISIS DEL RIESGO
CONTROLES EXISTENTES
PROBABILIDAD IMPACTO
NIVEL DE
RIESGO
Inherente
MITIGACIÓN DEL RIESGO
TRATAMIENTO
DE LOS
RIESGOS
PLAN DE ACCIÓN PARA MITIGAR LOS
RIESGOS RESPONSABLE
FECHA DE
IMPLEMENTACIÓN
IDENTIFICACION DE LA OPORTUNIDAD DETERMINACIÓN DE LA OPORTUNIDAD
N°
DESCRIPCIÓN DE LA
OPORTUNIDAD
ÁREA DE NEGOCIO
OCURRENCIAS
ANTERIORES
BENEFICIOS
POTENCIALES
TRATAMIENTO
PLAN DE
SEGUIMIENTO
RESPONSABLES
FECHA DE
IMPLEMEN-
TACIÓN
PROGRAMADA
FECHA DE
IMPLEMEN-
TACIÓN
EJECUTADA
MATRIZ DE RIESGOS:
MATRIZ DE OPORTUNIDADES:
82. Debe identificarse, analizar y valorar los riesgos de compliance, basándose en
una evaluación de estos riesgos.
Identificar los riesgos de compliance relacionandos a las obligaciones de
compliance con actividades, productos, servicios y aspectos pertinentes de las
operaciones.
Debe evaluarse los riesgos de compliance relacionados con procesos
contratados externamente y de tercera parte.
Los riesgos de compliance deben evaluarse periódicamente y siempre que haya
cambios materiales en las circunstancias o el contexto de la organización.
Debe conservarse la información documentada sobre la evaluación de los
riesgos de compliance y sobre las acciones para abordar los riesgos de
compliance.
Evaluación de riesgos de compliance
83. Al planificar el sistema de gestión del compliance, la organización debe
considerar el contexto interno y externo, los requisitos de las partes
interesadas y determinar los riesgos y oportunidades que necesitan
abordarse para:
— asegurar que el SGCO puede lograr los resultados previstos;
— prevenir o reducir los efectos no deseados;
— lograr la mejora continua.
Acciones para abordar riesgos y oportunidades
Por otra parte debe considerar
— sus objetivos de compliance;
— las obligaciones identificadas de compliance;
— los resultados de la evaluación de los riesgos de compliance.
84. a) las acciones para abordar los riesgos y oportunidades;
b) la forma de: 1) integrar e implementar las acciones en sus procesos del S. G.
del compliance;
2) evaluar la eficacia de estas acciones.
La organización debe planificar:
Acciones para abordar riesgos y oportunidades
85. RECURSOS Y COMPETENCIA
1. Identificación de recursos
2. Estimación de los recursos
3. Preparación del calendario para
los recursos
4. Monitoreo de los recursos
5. Analizar las necesidades de
competencias
6. Diseño del plan de
capacitación
7. Capacitaciones
8. Evaluación de los resultados
de las capacitaciones
9. Conservar la información
documentada
86. RECURSOS
PERSONAL
• Función de
Compliance
• Gerencia
• Contador
• Personal de
ventas
• Técnicos
• Analistas
INFRAESTRUCTURA
• Equipos
• Edificios
• Espacio de
trabajo
• Servicios
• Transporte
• Comunicaciones
AMBIENTE DE
TRABAJO
• Luz suficiente
• Limpieza
• Sillas
ergonómicas
• Protección de
ruidos
Los recursos de la organización pueden definirse como humanos, físicos,
financieros o factores de conocimiento que se requiera para una efectiva
operación y logro de sus objetivos. Las organizaciones necesitan diversos
tipos de recursos para operar y entregar productos o servicios a sus
clientes.
87. Calendario de recursos
Especificación de
recursos
• Detalle de los
recursos
necesarios para
completar el
proyecto de
implementación
del SGCO
Definición de la
frecuencia
• Las veces que
se requerirán
los recursos
(por semana /
mes)
Definición de la
cantidad
• Determinar la
cuantía de cada
recurso (horas,
monto, número)
en períodos
establecidos
Además de los indicados, la organización puede requerir una lista de las
potenciales restricciones que pueden surgir durante el proyecto de
implementación del SGCO.
88. Monitoreo de recursos
La identificación, estimación y calendario
de los recursos, debe ser monitoreado
con herramientas de seguimiento a los
presupuestos de los recursos
planificados y tiempos estimados.
Utilizando las herramientas de monitoreo
efectivas, la organización estará en la
capacidad de:
•Ser más efectiva en la gestión del personal
•Tomar decisiones con base a la información con
base a datos
•Monitorear los recursos en tiempo real
•Tener una amplia perspectiva sobre la marcha del
proyecto de implementación del SGCO.
89. PLAN DE COMUNICACIONES
Organización 123,
SA
PLAN DE COMUNICACIONES DEL SISTEMA DE GESTIÓN DEL COMPLIANCE
ASUNTO A COMUNICAR
¿Qué?
EMISOR
¿Quién?
RECEPTOR
¿A quién?
MEDIOS
¿Cómo?
DIRECCIÓN
CUANDO Y FRECUENCIA
INTERNA EXTERNA
Política de compliance
Alta Dirección,
Función de
Compliance
Todo el personal
Intranet, Carteleras,
Folletos, Página Web.
Inducciones,
capacitaciones.
X
Permanente
Al ingreso a la
organización y
periódicamente
Clientes y proveedores
y demás partes
Interesadas
Correo electrónico,
Página Web.
X
Permanente, al iniciar
una relación comercial
con clientes o
proveedores
Objetivos del SGCO
Alta Dirección,
Función de
Compliance
Todo el personal y
contratistas
involucrados en el
SGCO
Intranet, Carteleras,
Folletos, Página Web.
Inducciones,
capacitaciones.
X X
Permanente
Al ingreso a la
organización, al iniciar
un trabajo mayor y
periódicamente
Análisis de Contexto
Junta Directiva
Todo el personal
Revisión por la
Dirección
Intranet
X
Anualmente y cuando
existan cambios
relevantes
Otros asuntos por comunicar: Partes Interesadas, Matriz de riesgos, controles de los
riesgos de compliance, programa de sensibilización y difusión, lecciones aprendidas de las
investigaciones de denuncias, acciones correctivas y preventivas, gestión del canal de
denuncias, sugerencias e iniciativas de mejora.
90. ANALIZAR LAS NECESIDADES DE COMPETENCIAS
1. Identificar los niveles de
las competencias
existentes
2. identificar las
necesidades de
competencias requeridas
3. comparar las
necesidades de
competencias requeridas
con los niveles de
competencias existentes
4. Utilizar el pensamiento
basado en riesgos para
priorizar las acciones para
cerrar las brechas de
competencias
91. PROCESO DE EMPLEO
Establecer procesos de manera que:
a) las condiciones de empleo requieran que el personal cumpla con las obligaciones, las políticas, los
procesos y los procedimientos de compliance de la organización;
b) en un periodo de tiempo razonable desde su incorporación al empleo, el personal reciba una copia
o se le dé acceso a la política de compliance y a formación relacionada con esa política;
c) se tomen las acciones disciplinarias adecuadas contra el personal que infrinja las obligaciones, las
políticas, los procesos y los procedimientos de compliance de la organización.
Considerar los riesgos de compliance que presentan los roles y el personal. Aplicar la debida
diligencia antes de cualquier contratación, cambio de puesto o promoción.
Revisión periódica de las metas de desempeño, bonificaciones y demás incentivos. Verificar que se
aplican las medidas adecuadas para evitar que se fomente el no cumplimiento de compliance.
93. Debe proporcionar formación al personal pertinente de forma regular, desde su
incorporación y a intervalos planificados determinados.
La formación debe:
a) ser adecuada a los roles del personal y a los riesgos de compliance a los que está expuesto el
personal;
b) evaluarse en términos de eficacia;
c) revisarse regularmente
• Teniendo en cuenta los riesgos de compliance identificados, debe asegurarse de
que se implementan procedimientos para abordar la toma de conciencia y la
formación en materia de compliance.
• Los registros de formación se deben conservar como información documentada.
Formación
94. Toma de conciencia
Las personas que realizan el trabajo bajo el control de la organización
deben tomar conciencia de:
— la política de compliance;
— su contribución a la eficacia del SGCO, incluidos los beneficios de una mejora del
desempeño del compliance;
— las implicaciones de no cumplir los requisitos del SGCO.
— los medios y procedimientos para plantear inquietudes de compliance;
— la relación entre la política de compliance y las obligaciones de compliance pertinentes
para sus roles;
— la importancia de apoyar la cultura de compliance.
95. PLAN DE CAPACITACIÓN Y CONCIENTIZACIÓN
El propósito de la capacitación y concienciación es ayudar a
asegurar que el personal pertinente entienda, según corresponda a
su función, dentro o con la organización:
• los riesgos de compliance que ellos y la organización enfrentan;
• la política de compliance;
• los aspectos del sistema de gestión del compliance correspondientes a su
función;
• cualquier acción preventiva y de reporte necesaria que precisen realizar en
relación a cualquier riesgo o sospecha de no cumplimientos de compliance.
El Plan de Capacitación y Concientización de compliance, forma
parte de la planificación anual de capacitaciones que se elabora en
general para todo el personal en el área de RH.
96. INFORMACIÓN DOCUMENTADA DEL SGCO
Recepción de la política de
compliance por parte del
personal
Objetivos de compliance y
planificación para lograrlos
Resultados de la evaluación
de los riesgos de compliance
Evidencias de la formación
de compliance
Procedimientos para
controlar las obligaciones y
riesgos de compliance
Registros de las obligaciones
de compliance
Acciones y resultados de las
inquietudes planteadas en
relación con:
•1) cualquier debilidad del sistema
de gestión del compliance;
•2) incidentes sobre no
cumplimientos de compliance;
Resultados del seguimiento,
investigación y auditoría
llevados a cabo por la
organización o por terceros.
97. IMPORTANCIA DE LA INFORMACIÓN DOCUMENTADA
El propósito además de servir como
evidencia de conformidad del
cumplimiento de un requisito, es servir de
guía para la operación del SGCO y
proveer información sobre la efectividad
de los procesos y oportunidades de
mejora
La preparación de la información
documentada no debe se en sí el objetivo.
Esta debe ser un valor agregado para la
actividad del SGCO
Debe ser creada, mantenida y protegida
de manera apropiada y suficiente para
implementar y operar la gestión del
SGCO.
99. Se debe implementar controles para gestionar sus obligaciones de compliance y los
riesgos de compliance asociados.
Estos controles se deben mantener, revisar y probar periódicamente para asegurarse
de que continúan siendo eficaces.
NOTA: Los controles de prueba implican realizar un ejercicio diseñado para ver si el control
cumple su propósito, si realmente es eficaz a la hora de reducir el impacto del riesgo o la
probabilidad de que este se produzca
Controles y procedimientos
100. CANAL DE DENUNCIAS
Elementos clave:
• Crear una cultura de confianza
• Ofrecer variedad de canales
• Denunciantes no serán penalizados sino
reconocidos
• Tratar las denuncias con prontitud
• Seguir los casos hasta la conclusión
• Información de problemas críticos a la alta gerencia
• Revisión independiente.
101. CANAL DE DENUNCIAS – BUENAS PRÁCTICAS
Los recursos humanos son un actor clave
Ofrecer una variedad de canales
Comunicar
Que los canales de asesoramiento sean recursos de elección
Completar el proceso de investigación de las denuncias presentadas
Tratamiento adecuado de las investigaciones
Revisión independiente
Analizar y monitorear
Asegurar la revisión por parte de la alta gerencia
Informar los resultados públicamente
102. PROCESOS DE INVESTIGACIÓN
Los investigadores
involucrados en procesos
de investigación deben ser
tan objetivos como sea
posible.
Deben utilizar políticas y
procedimientos internos
para realizar su trabajo.
Este es un elemento clave
de un procesos integrados
y confiables
Los procesos de
investigación deben ser
eficientes y efectivos.
Involucrar a los empleados
necesarios y conducir el
trabajo en el menor tiempo
posible.
103. Designación de los investigadores
Dependiendo de la naturaleza de la infracción cometida, la organización puede
decidir por cuál departamento o investigador debe ser manejado el caso.
Diferentes organizaciones asignan la labor de investigación a diferentes
departamentos, tal como recursos humanos, auditoría, cumplimiento, etc.
Dependiendo del caso que esté siendo investigado, personas de varias
pueden estar involucradas con el fin de tener la mejor experticia.
105. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
Seguimiento
• Es el
proceso de
observar
un sistema,
proceso o
producto
para
determinar
los niveles
de su
desempeño
Medición
• Proceso
que
determina
el valor y
tratamiento
de un
sistema,
proceso o
producto
Análisis
• Proceso de
examen de
un sistema,
proceso o
producto
con el fin
de
entenderlo
mejor
Evaluación
• Es el
proceso de
estimación
de la
efectividad
de un
sistema,
proceso o
producto.
106. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
1. Definir las necesidades de información
2. Definir a qué se va a hacer seguimiento
3. Definir quién va a hacer seguimiento, medición,
análisis y evaluación
4. Establecer los indicadores de desempeño
5. Reporte de los resultados
Conservar la información documentada como evidencia
107. La información documentada para proporcionar evidencia de los resultados debe estar
disponible.
Debe realizar seguimiento del sistema de gestión del compliance para
asegurar que se alcanzan los objetivos de compliance.
Debe determinar:
— qué debe ser objeto de seguimiento y qué es necesario medir;
— los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para
asegurar resultados válidos;
— cuándo se deben llevar a cabo el seguimiento y la medición;
— cuándo se deben analizar y evaluar los resultados del seguimiento y la medición.
Seguimiento, medición, análisis y evaluación
108. Desarrollo de
indicadores
Se debe:
— desarrollar, implementar y
mantener un conjunto de
indicadores adecuados que ayuden
a evaluar el logro de los objetivos
de compliance y a evaluar el
desempeño del compliance.
109.
110. Auditoría interna
Debe llevar a cabo auditorías
internas a intervalos planificados,
para proporcionar información
acerca de si el S.G. del compliance:
a) cumple:
— los requisitos propios de la
organización para su SGCO;
— los requisitos de esta norma;
b) se implementa y mantiene
eficazmente.
111. Definición de Auditoría
Proceso sistemático, independiente y documentado para obtener
evidencia objetiva y evaluarla de manera objetiva, con el fin de
determinar la extensión en que se cumplen los criterios de
auditoría.
Verifica si el auditado pone en evidencia lo que
hace, en cumplimiento de lo establecido.
AUDITORÍA INTERNA
112. Tipos de auditoría
Primera Parte
Auditoría interna: Auditores de la propia organización
evalúan su propio sistema de gestión.
Segunda Parte
Auditoría en la que un cliente audita a un proveedor ó
proveedor potencial para dictaminar la capacidad de
cumplir las condiciones contractuales.
Tercera Parte
Auditorías realizadas por organizaciones auditoras
independientes, tales como autoridades reglamentarias
o aquellas que proporcionan la certificación
Internas
Externas
113. Principales servicios y actividades de auditoría
interna
1.
Evaluación
de los
objetivos del
SGCO
2.
Evaluación
del proceso
de gestión
de riesgos
3.
Evaluación
de la
efectividad y
eficiencia de
los procesos
y controles
4.
Evaluación
de las
revisiones
del
seguimiento
y mediciones
del SGCO
5.
Evaluación
de los
procesos de
mejora
continua del
SGCO
6.
Coordinación
para las
auditorías
externas.
AUDITORÍA INTERNA
114. Gestión de un programa de auditoría
Planificar Hacer Verificar Actuar
Establecimiento
de los objetivos
del programa de
auditoría
Determinación y
evaluación de
riesgos y
oportunidades
del programa
Establecimiento
del programa de
auditoría
Implementación
del programa de
auditoría
Seguimiento del
programa de
auditoría
Revisión y
mejora del
programa de
auditoría
A B
115. Planificar Hacer Verificar
Actuar
Inicio de la
auditoría
Preparación de
las actividades
de auditoría
Preparación y
distribución del
informe de
auditoría
Finalización de
la auditoría
Realización de
las actividades
de seguimiento
de una auditoría
A B
Realización de
las actividades
de auditoría
116. REVISIÓN POR LA DIRECCIÓN
Definición:
• La revisión por la dirección es una revisión periódica del desempeño del SGCO
por la alta dirección para analizar si el sistema de gestión idóneo, adecuado y
efectivo.
Término Concepto
Idóneo Los resultados son logrados de la mejor manera posible
Adecuado Funciona de acuerdo con los criterios establecidos
Efectivo El sistema cumple con las necesidades de la
organización.
117. Revisión por la dirección
Debe incluir:
a) el estado de las acciones de las revisiones por la dirección previas;
b) los cambios en las cuestiones externas e internas que sean pertinentes para el SGCO;
c) los cambios en las necesidades y las expectativas de las partes interesadas que son pertinentes para
el SGCO;
d) la información sobre el desempeño del compliance, incluidas las tendencias relativas a:
— las no conformidades, no cumplimientos de compliance y acciones correctivas;
— el seguimiento y los resultados de las mediciones;
— los resultados de las auditorías;
e) las oportunidades de mejora continua.
El órgano de gobierno y la alta dirección deben revisar el SGCO de la organización a intervalos
planificados, para asegurarse de su idoneidad, adecuación y eficacia continuas
118. REVISIÓN POR LA DIRECCIÓN
Actividades:
1. Preparación de la revisión por la dirección
2. Conducir la revisión por la dirección
3. Determinar los resultados de la revisión por la dirección
4. Seguimiento de la revisión por la dirección.
119. Fuentes de opinión sobre el
desempeño
de compliance
Se debe:
— establecer, implementar, evaluar y
mantener procesos para buscar y recibir
opiniones de su desempeño del
compliance de una serie de fuentes.
La información debe analizarse y
evaluarse críticamente para identificar
las causas raíz de no cumplimientos de
compliance, asegurar que se toman las
acciones adecuadas y reflejar esta
información en la evaluación periódica
de riesgos.
120. Informes de compliance
Debe establecer, implementar y mantener procesos para proporcionar información
en materia de compliance con el fin de asegurar que:
a) se definen los criterios adecuados para la presentación de informes;
b) se establecen plazos para la presentación periódica de informes;
c) se implementa un sistema de informes de excepciones que facilita información ad hoc;
d) se implementan sistemas y procesos para asegurar la exactitud e integridad de la información;
e) se facilita una información exacta y completa a las funciones o áreas apropiadas, para permitir
que se adopten acciones preventivas, correctivas y correcciones de manera oportuna.
Cualquier informe emitido por la función de compliance para el órgano de gobierno o la alta
dirección debe protegerse adecuadamente de modificaciones.
121. Mantenimiento de registros
Se debe:
mantener registros exactos y actualizados de las
actividades de compliance con objeto de ayudar en
los procesos de seguimiento y revisión y para
demostrar la conformidad con el S. G. del compliance.
122. DEFINICIONES
Mejora continua
•Actividad
recurrente para
mejorar el
desempeño
Acción
preventiva
•Acción para
eliminar la
causa
potencial de
una no
conformidad o
de otra
situación
potencialmente
indeseable
Acción correctiva
•Acción para
eliminar la
causa
potencial de
una no
conformidad y
prevenir su
recurrencia
Corrección
•Acción para
eliminar una no
conformidad
detectada.
123. NO CONFORMIDADES Y ACCIONES CORRECTIVAS
Lista de actividades
1. Identificación de la no
conformidad
2. Reaccionar ante la no
conformidad
3. Establecer los hechos para
analizar la causa raíz
4. Análisis de la causa raíz de
la no conformidad
5. Presentar los resultados
6. Definir el plan de acción
7. Implementar acciones
correctivas
8. Mantener información
documentada como
evidencia
9. Revisar la efectividad de
las acciones tomadas.
124. Beneficios de la mejora continua
Aumento de la
eficiencia
•La mejora
continua permite
el incremento de
la productividad
tanto que los
cambios pueden
mantenerse en el
largo plazo para
resultados
positivos
Equipos
colaborativos
•El trabajo
continuo hacia un
objetivo común
ayuda a construir
nuevas relaciones
entre los equipos
y refuerza los
existentes
Aumento de la
satisfacción de los
clientes
•Mientras se
mejora
activamente los
procesos,
simultáneamente
las
organizaciones
incrementan la
calidad de los
productos y
servicios que
ofrecen
Reducción de
errores
•Con la mejora
continua de los
procesos, el
número de
errores en estos
procesos también
se reducirán.
125. MEJORA CONTINUA
Lista de actividades
1. Monitoreo de los factores de cambio
2. Recopilar entradas para la mejora
continua
3. Planificar e implementar cambios al
SGCO
4. Mantener y actualizar la información
documentada
5. Documentar las mejoras
126. VALIDACIÓN DEL CUMPLIMIENTO DE REQUISITOS
Comprobar la
aprobación de
la política de
compliance y
el despliegue
de la misma
Ver si el
contexto
interno y
externo, las
partes
interesadas
están
completos y
aprobados
Verificar que la Matriz de
riesgos de compliance y
oportunidades, así como
la Matriz de Objetivos del
SGCO están completos y
aprobados
Revisar obligaciones
de compliance para
ver si se incluyeron
los cronogramas y
alertas para el
cumplimiento
Validar con el
informe de
diagnóstico si
todas las
brechas
fueron
cubiertas.
Inspeccionar si
todos los
procedimientos
del SGCO están
aprobados por
las áreas
respectivas.
127. VALIDACIÓN DEL CUMPLIMIENTO DE REQUISITOS
(Continuación)
Probar que el SGCO y los
controles funcionan
correctamente, a fin de
garantizar que los
procedimientos de compliance
se han implementado de
manera efectiva y eficiente.
Que las herramientas
tecnológicas y documentación,
cubren adecuadamente las
funciones más vulnerables.
Las funciones más vulnerables
son:
•Leyes fiscales
•Contratos
•Beneficios del personal
•Gestión de permisos y aprobaciones
regulatorias.
128. PROCESO DE CERTIFICACIÓN
Implementación del
SGCO
• Auditoría interna y
revisión por la
dirección
• Selección del
organismo de
certificación
Preparación de la
auditoría
• Fase 1 de la
auditoría
• Fase 2 de la
auditoría (en
el sitio)
Seguimiento
(si fuera necesario)
• Confirmación y
registro
• Obtención del
certificado
Antes de la auditoría Auditoría inicial
Después de la
auditoría
129. PREPARACIÓN PARA LA AUDITORÍA DE
CERTIFICACIÓN
Entender la
norma
Identificar
expertos en
la materia
Asignar
suficientes
recursos
Realizar una
auto -
evaluación
Preparar al
personal
Recopilar la
información
documentada
Preparación para una evaluación de la conformidad de tercera
parte del SGCO
130. FACTORES CLAVE PARA EL ÉXITO DE LA
IMPLEMENTACIÓN
Compromiso de la alta dirección
con el programa de compliance.
Equipo de implementación que
incluya representación de toda la
organiz. para asegurar que se
cuenta con un apoyo generalizado
en todos los niveles.
Elaborar la Matriz de riesgos de
compliance considerando las
obligaciones de compliance.
Lograr consenso en las medidas
que se van a implementar.
Comunicación oportuna y
apropiada sobre el Sistema de
Gestión del Compliance:
funciones, responsabilidades y
plazos.
Comunicar los beneficios de
compliance en toda la
organización y las partes
interesadas.
131. CIERRE DEL PROYECTO DE IMPLEMENTACIÓN
Formalmente, el cierre del proyecto es la última de las fases que componen el proceso de
gestión del mismo, y aplica tanto al proyecto en su conjunto como a cada una de las fases de
su ciclo de vida.
De esta forma si tenemos un proyecto que se ejecuta en fases, cada una de las fases debe
incluir su proceso de aceptación y cierre, ajustado a sus características concretas.
SGCO IMPLEMENTADO