SlideShare una empresa de Scribd logo

0. Curso Gestión de compliance atualizado.pdf

P
papeleriayvariedades23

Gestion de Compliance

Empresariales
1 de 132
Descargar para leer sin conexión
MARCO F. ANDRADE M. Gestión de Compliance ISO 37301
OBJETIVO DEL CURSO Compartir con el participante los conocimientos que le faciliten desarrollar competencias necesarias para evaluar e implementar un programa de compliance, que contribuya en las organizaciones a evitar o mitigar costos, riesgos y daños por incumplimiento de leyes, contratos y otras obligaciones, asegurando su sostenibilidad en el largo plazo.
CONTENIDO 1. Introducción al compliance y cómo empezar su implementación: • Antecedentes del marco regulatorio y normas internacionales de compliance. • Conceptos y principios de la gestión de compliance) 2. Plan de implementación del compliance: • Contexto interno y externo de la organización. • Alcance del Programa de Compliance / Obligaciones. • Gestión de riesgos y oportunidades de compliance. 3. Implementación de compliance en la organización: • Recursos y competencias. • Toma de conciencia, formación y comunicaciones • Gestión de la información documentada. • Controles y procedimientos 4. Seguimiento, mejora continua del compliance • Auditoría interna. • Revisión por la dirección. • Tratamiento de las no conformidades y acciones correctivas. • Mejora continua. Preparación para la certificación. Casos prácticos.
¿Qué son las normas ISO? Conjunto de normas establecidas por el Organismo Internacional de Estandarización (ISO), para la gestión de una organización en distintos ámbitos. Los procesos globalizados de la economía, el mercado así como el poder de usuarios y consumidores, ha propiciado que estas normas de adopción voluntaria hayan ganado un gran reconocimiento y aceptación internacional. Se componen de estándares y guías sobre sistemas y herramientas específicas de gestión aplicables en cualquier tipo de organización, la obtención de una certificación ISO en alguna de sus normas, garantiza que la organización certificada sigue los estándares de calidad, seguridad, eficiencia, etc. en sus servicios o productos.
Introducción Transparencia, consenso, imparcialidad, apertura y diversidad, son temas que preocupan a la sociedad y a las organizaciones para crear normas relacionadas con ética, responsabilidad social, gobernanza y compliance. El compliance como norma de la Organización Internacional de Normalización (ISO), surge en 2014, con la ISO 19600 Sistema de gestión de compliance – Directrices: recomendaciones en materia de compliance. El año 2021 se publicó la ISO 37301 Sistema de gestión del compliance. Requisitos con orientación para su uso (certificable). Visión madura y evolucionada del compliance: cumplimiento de leyes y compromisos asumidos de manera voluntaria (incluidos lo de carácter ético).
Evolución del Compliance ISO 19600:2014 SGCO (Directrices) ISO / TC 309 (GT4) Gobernanza de organizaciones Requisitos de Compliance (Legales) Compromisos de Compliance (Voluntarios) LEGISLACIÓN (Riesgo Legal / Penal) BUENAS PRÁCTICAS (Gestión de riesgos) MODELOS DE Prevención (Leyes) DELITOS ISO 37001:2016 SGCO (Requisitos) ISO 37301:2021 SGCO (Requisitos) ISO 37002:2021 SGD (Directrices) Obligaciones de Compliance
Proceso de desarrollo de la ISO 37301 Propuesta de Australia con base a AS 3806-2006 Programas de Compliance. ISO aceptó la propuesta (Comité del Proyecto, ISO/PC 271) Publicación de ISO 19600 ISO/TC 309 (WG4) revisó la ISO 19600 (nuevo número ISO 37301) Aprobado el borrador de ISO 37301 Aprobación final y publicación 2012 2014 2018 2020 2021
NTP-ISO 37301 Introducción Un sistema de gestión del compliance eficaz y que abarque a toda la organización permite que ésta demuestre su compromiso de cumplir con las leyes, requisitos regulatorios, códigos de la industria y normas de la organización, así como con las de buena gobernanza, las mejores prácticas generalmente aceptadas, la ética y las expectativas de la comunidad.
Beneficios de la ISO 37301 ✓ Mejores oportunidades de negocios; ✓ Protección y mejora de la reputación y la credibilidad de la organización; ✓ Demuestra el compromiso en la gestión de los riesgos de compliance; ✓ Aumenta la confianza de terceros en la sostenibilidad de la organización; ✓ Minimiza riesgos de costos financieros y daños a la reputación.
Normas ISO relacionadas guías
Reglas básicas del nuevo enfoque Requisitos para la implementación Capítulo 1 Objeto y Campo de Aplicación Capítulo 2 Referencias Normativas Capítulo 3 Términos y definiciones Capítulo 4 Contexto de la organización Capítulo 5 Liderazgo Capítulo 6 Planificación Capítulo 7 Apoyo Capítulo 8 Operación Capítulo 9 Evaluación del Desempeño Capítulo 10 Mejora Estructura de la ISO 37301 Hacer Actuar Planificar Verificar
Es el cumplimiento de todas las obligaciones de compliance (requisitos que una organización tiene obligatoriamente que cumplir, así como aquellos que elige cumplir voluntariamente). ISO 37301 Definición de COMPLIANCE
MARCO NORMATIVO INTERNACIONAL País / Organismo Norma Año de Publicación USA Foreign Corrupt Practices Act (FCPA) 1977 USA SARBANES OXLEY ACT 2002 ONU Convención de las Naciones Unidas contra la Corrupción 2005 Suiza ACUERDOS DE BASILEA – Basilea III 2017 Reino Unido The Bribery Act 2010 OCDE Good Practice Guidance on Internal Control, Ethics and Compliance 2010 Australia AUSTRALIAN STANDARD AS 3806 1998 USA FEDERAL SENTENCING GUIDELINES 2004 ISO Sistema de Gestión del Compliance ISO 37301 (antes 19600) 2021
CONCEPTOS CLAVE PARTE INTERESADA Persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad. ALTA DIRECCIÓN Persona o grupo de personas que dirigen y controlan una organización al más alto nivel. Nota 1: La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización. Nota 2: Si el alcance del sistema de gestión comprende solo una parte de una organización, entonces alta dirección se refiere a quienes dirigen y controlan esa parte de la organización. Nota 3: Para los fines de esta norma, el término “alta dirección” se refiere al más alto nivel de la dirección ejecutiva.
CONCEPTOS CLAVE OBJETIVO Resultado a lograr. Nota 1: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas. Nota 2: Los elementos del sistema de gestión incluyen la estructura de la organización, los roles y las responsabilidades, la planificación y la operación. POLÍTICA Intenciones y dirección de una organización como las expresa formalmente su alta dirección. Nota 1: La política también puede ser expresada formalmente por el órgano de gobierno de una organización.
CONCEPTOS CLAVE SISTEMA DE GESTIÓN Conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos para lograrlos. Nota 1: Un objetivo puede ser estratégico, táctico u operativo. Nota 2: Los objetivos pueden referirse a diferentes disciplinas (como las finanzas, la seguridad y salud y el medio ambiente). Pueden ser, por ejemplo, objetivos que abarquen a toda la organización o específicos para un proyecto, producto, servicio o proceso. Nota 3: Un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado previsto, un propósito, un criterio operativo, un objetivo de compliance, o mediante el uso de términos con un significado similar (por ejemplo, finalidad o meta). Nota 4: En el contexto de sistemas de gestión del compliance, la organización establece los objetivos de compliance, en concordancia con la política de compliance, para lograr resultados específicos. .
CONCEPTOS CLAVE RIESGO Efecto de la incertidumbre en los objetivos. Nota 1: Un efecto es una desviación de lo esperado, ya sea positiva o negativa. Nota 2: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad. Nota 3: Con frecuencia el riesgo se caracteriza por referencia a “eventos” potenciales y “consecuencias”, o a una combinación de estos. Nota 4: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos los cambios de las circunstancias) y la “probabilidad” (como se define en la Guía ISO 73) asociada de que ocurra.
CONCEPTOS CLAVE RIESGO DE COMPLIANCE Probabilidad de ocurrencia y las consecuencias del no cumplimiento de compliance respecto a las obligaciones de compliance de una organización. OBLIGACIONES DE COMPLIANCE Requisitos que una organización tiene obligatoriamente que cumplir, así como aquellos que una organización elige voluntariamente cumplir. CULTURA DE COMPLIANCE Valores, ética, creencias y conductas que existen en una organización y que interactúan con las estructuras y sistemas de control de la organización para producir normas de comportamiento que conducen al compliance.
CONCEPTOS CLAVE PROCESO Conjunto de actividades interrelacionadas o que interactúan, que emplean o transforman elementos de entrada para obtener resultados. Nota 1: Que el resultado de un proceso se denomine salida, producto o servicio depende del contexto de referencia. DESEMPEÑO Resultado medible. Nota 1: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos. Nota 2: También se puede relacionar con actividades de gestión, procesos, productos, servicios, sistemas u organizaciones. .
CONCEPTOS CLAVE REQUISITO Necesidad o expectativa establecida, generalmente implícita u obligatoria. Nota 1: “Generalmente implícita” significa que es una costumbre o práctica común para la organización y para las partes interesadas, que la necesidad o expectativa que se considera está implícita. Nota 2: Un requisito especificado es el que está declarado, por ejemplo, en información. documentada NO CONFORMIDAD Incumplimiento de un requisito. Nota 1: Una no conformidad no es necesariamente un no cumplimiento de compliance. .
CONCEPTOS CLAVE ACCIÓN CORRECTIVA Acción para eliminar las causas de una no conformidad (3.16) y evitar que vuelva a ocurrir. AUDITORÍA Proceso sistemático e independiente para obtener las evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría. Nota 1: Una auditoría puede ser interna (de primera parte), o externa (de segunda o tercera parte), y puede ser combinada (combinando dos o más disciplinas). Nota 2: Una auditoría interna la que realiza la propia organización o una parte externa en su nombre. Nota 3: “Evidencia de auditoría” y “criterios de auditoría” se definen en la Norma ISO 19011. Nota 4: La independencia se puede demostrar por la ausencia de dependencia de la actividad objeto de la auditoría o por la ausencia de parcialidad y de conflicto de intereses
CONCEPTOS CLAVE ÓRGANO DE GOBIERNO Persona o grupo de personas que tienen la última responsabilidad y autoridad en las actividades, gobierno y políticas de una organización ante quienes la alta dirección (3.3) informa y rinde cuentas . Nota 1: No todas las organizaciones, particularmente las organizaciones pequeñas, tendrán un órgano de gobierno aparte de la alta dirección. Nota 2: Un órgano de gobierno puede incluir, pero no está limitado a un consejo directivo, comités de control, consejo de control, directores y supervisores FUNCIÓN DE COMPLIANCE persona o grupo de personas con responsabilidad y autoridad para la operación del sistema de gestión del compliance. Nota 1: Preferiblemente se asignará la supervisión del sistema de gestión del compliance a un solo individuo.
Fundamentos de la gestión del compliance Normas y procedimien- tos: presentar todos los requerimientos y expectativas a los empleados, como normas internas y disposiciones legales. Vigilancia: el rol de una persona responsable para supervisar la aplicación de las normas es esencial para mantener el compliance. Formación y conciencia: formación continua y sesiones de sensibiliza- ción ayudan a los empleados a entender los requisitos de compliance en vez de memorizarlos Auditoría interna: a intervalos regulares es elemento clave del mantenimiento de compliance. Reportes: cualquier acto de no cumplimiento, delitos o actos ilegales, deben ser reportados inmediatamente a la persona responsable. Persuasión y disciplina: definir acciones disciplinarias para cualquier incumplimiento intencional de las obligaciones de compliance. Respuesta y prevención: abordar las infracciones de las obligaciones de compliance respondiendo inmediata- mente.
Principios de la gestión del compliance Integridad: Valores y la apropiada gestión de compliance para salvaguardar la probidad de la organización. Principio consagrado en las políticas internas, procedimientos, prácticas diarias y transacciones. Buen gobierno: toma de decisiones basada en normas, comportamientos, cultura y procesos creados que se mantienen para entregar valor consistente a las partes interesadas. Proporcionalidad: naturaleza y extensión de los riesgos de compliance tomados en cuenta al establecer un SGCO. Disciplinando violaciones caprichosas o negligentes de compliance, con acciones correctivas proporcionales a los no cumplimientos. Transparencia: la organización es transparente con respecto a la manera en la que las decisiones son tomadas, implementadas y revisadas. Responsabilidad: todos en la organización son responsables en lo relativo a su rol y responsabilidades. El último responsable en la efectividad del SGCO, son el órgano de gobierno y la alta dirección. Sostenibilidad: compliance es parte de la cultura que es reforzada continuamente proporcionando los recursos necesarios para el mantenimiento y mejora continua del SGCO que promueve una cultura de compliance a todo nivel.
Plan de implementación del Compliance
Aspectos que se deben considerar para la implementación 1) Cumplimiento de las fechas establecidas en el cronograma de implementación 2) Nivel de madurez de los procesos 3) Alcance de la implementación 4) Aplicación de leyes, regulaciones y controles 5) Apoyo de la alta dirección.
Enfoques para una propuesta de implementación 1) En en el negocio: contexto de las actividades comerciales de la organización 2) En los sistemas: toda la implementación sin aislar ciertos procesos 3) Sistémico: aplicación de las mejores prácticas de gestión de proyectos 4) Integrado: con otros sistemas de gestión o requerimientos establecidos por la organización 5) Iterativo: implementación rápida del SGCO adhiriéndose a los requisitos mínimos de la norma y luego proceder a la mejora continua.
Aplicación del enfoque de la propuesta de implementación Evitar la integración de nuevas tecnologías Integrar el SGCO en procesos existentes Aplicar el principio de mejora continua Involucrar a las partes interesadas en la organización Obtener el apoyo de la alta dirección
Planteamiento del proyecto de implementación 1) Una herramienta para apoyar la toma de decisión 2) Un documento para promover la implementación del proyecto 3) Una manera de definir claramente los objetivos La implementación del SGCO incurre en costos que deben ser justificados ante la alta dirección y la JD. El planteamiento del proyecto de implementación del SGCO con base a la ISO 37301, puede ser una herramienta útil para que la alta dirección y la JD tomen la decisión. Un caso de negocio es:
Creación de un caso de negocios Preguntas a las que se debe responder: ¿Cuál es el propósito del proyecto? ¿Cuáles son las soluciones que serán estudiadas? ¿Porqué es seleccionada una solución en particular? ¿Cuánto cuesta la solución? ¿Quién es responsable de este proyecto? ¿Cómo afecta este proyecto a la organización?
Componentes del caso de negocio Los 5 componentes de un caso de negocio son: Los objetivos del proyecto y su alienación con la estrategia de la organización Las opciones consideradas La solución seleccionada Los recursos necesarios El proyecto de implementación
Lo que se incluye en el caso de negocios a) Descripción del negocio, necesidades y objetivos que el SGCO pretende cubrir b) Alcance propuesta para el SGCO c) Restricciones y supuestos que afectarían el SGCO o su implementación d) Beneficios cualitativos y cuantitativos del SGCO, incluyendo: • Reducción de riesgos de no cumplimiento • Cambios en los procesos y carga de trabajo • Capacidad para visibilizar el apoyo a la estrategia del negocio con oportunidades de mejorar la eficiencia en todas las áreas, principalmente en mejorar los costos, la calidad y la adaptabilidad • Cumplimiento legal y regulatorio • Ahorros de costo potenciales • Beneficios directos o indirectos, como satisfacción de los clientes y el personal, y la reducción de riesgos para el negocio • Retorno de la inversión.
Lo que se incluye en el caso de negocio(continuación) e) Costos, incluyendo: • Estimación de recursos (requerimientos de personal, financieros y tecnológicos) • Costo del uso de recursos externos f) Evaluación de riesgos y recomendaciones para la gestión de riesgos considerando riesgos de cambio organizacional, financieros y técnicos g) Descripción de cómo deberán ser evaluados los costos y beneficios de la implementación del SGGO h) Recomendaciones de la evaluación de conformidad formal e independiente i) Cronograma j) Partes interesadas que estarán involucradas o afectadas por la implementación del SGCO k) Términos de referencia propuestos l) Apoyo, compromiso y gestión del proyecto.
GESTIÓN DE PROYECTOS ISO 9000 (cláusula 3.4.2) Proyecto •Proceso único que consiste en un conjunto de actividades coordinadas y controlados con fechas de inicio y de finalización, con el fin de lograr un objetivo de acuerdo con requerimientos específicos, gestionando el tiempo, costos y recursos. ISO 9000 (cláusula 3.3.11) Actividad •Objeto pequeño de trabajo identificado en un proyecto ISO 9000 (cláusula 3.3.12) Gestión de proyecto •Planificación, organización, monitoreo, control y reporte de un proyecto y motivación de todos los involucrados en el logro de los objetivos del proyecto. DEFINICIONES
GESTIÓN DEL PROYECTO POR EL PERSONAL vs. CONSULTORÍA EXTERNA - Conocimiento de la cultura, valores y creencias en la organización - Conocimiento de los procesos existentes - Habilidad para utilizar el conocimiento de la organización - Sesgos - Potencial desconocimiento de prácticas y técnicas utilizadas por otras organizaciones - Puede requerir del ensayo y error - Puede ser más costoso y consumir más tiempo del personal de la organización - Visión imparcial de los procesos existentes en la organización - Experticia con soporte en el conocimiento, las buenas prácticas y tendencias en la industria - Puede proveer el servicio a un costo bajo para la organización. - Dificultad para entender la cultura y la dinámica de las relaciones entre los diferentes niveles de la organización - Puede ser visto como una trampa por los empleados - Puede estar limitado por circunstancias no previstas o limitaciones contractuales. VENTAJAS DESVENTAJAS EMPLEADOS CONSULTORÍA EXTERNA
MARCO METODOLÓGICO PARA LA GESTIÓN DE LA IMPLEMENTACIÓN APOYO DE LA ALTA DIRECCIÓN - Liderazgo y compromiso - Política de compliance - Roles, responsabilidades y autoridad PLANIFICACIÓN DEL SGCO - Contexto de la organización - Identificación de las necesidades de las partes interesadas - Alcance del SGCO - Riesgos, oportunidades y objetivos del SGCO APOYO - Recursos, competencias y proceso de empleo - Toma de conciencia y comunicación - Gestión de la información documentada OPERACIÓN - Controles y procedimientos EVALUACIÓN DEL DESEMPEÑO - Seguimiento, medición, análisis y evaluación - Auditoría interna - Revisiones por la dirección MEJORA - No conformidades y acciones correctivas - Mejora continua. PLANIFICAR VERIFICAR HACER ACTUAR
ENFOQUE Y METODOLOGÍA DE IMPLEMENTACIÓN • El enfoque basado en riesgos tiene en cuenta los riesgos en vez de intentar preverlos como un elemento independiente al Sistema de Gestión. • El enfoque basado en procesos enfatiza que los resultados que se desean obtener se pueden alcanzar de forma más eficiente, ejerciendo control sobre el conjunto de actividades. METODOLOGÍA: • Reuniones del equipo implementador con la persona encargada del proyecto para revisar los requisitos a ser implementados de acuerdo con la norma. • Revisión de documentos y registros relacionados con el SGCO • Entrevistas con el personal clave y el que se requiera para identificar riesgos, oportunidades y partes interesadas. • Elaboración de los Informes de avance en forma periódica. ENFOQUE:
EQUIPO IMPLEMENTADOR • Persona encargada del proyecto de implementación, conocedora de algún Sistema de Gestión y de los procesos de la organización. • Gerente del proyecto (Implementador líder) y uno o más asistentes, según el tamaño de la organización. COMPOSICIÓN DEL EQUIPO:
FUNCIÓN DE COMPLIANCE • Facilitar la identificación de las obligaciones de compliance; • documentar la evaluación de los riesgos de compliance; • alinear el sistema de gestión del compliance con los objetivos de compliance; • medir y hacer seguimiento del desempeño del compliance; • analizar y evaluar el desempeño del sistema de gestión del compliance; para identificar cualquier necesidad de acción correctiva; • establecer un sistema de información y documentación del compliance; • asegurarse de que el sistema de gestión del compliance se revise a intervalos planificados; • establecer un sistema para plantear inquietudes y asegurar que se aborden las inquietudes. Responsabilidades:
FUNCIÓN DE COMPLIANCE • Las responsabilidades para lograr las obligaciones de compliance identificadas se asignen de forma adecuada en toda la organización; • las obligaciones de compliance estén integradas en las políticas, los procesos y los procedimientos; • todo el personal pertinente esté formado como corresponda; • estén establecidos indicadores de desempeño. Debe proporcionar: • El acceso al personal a los recursos relacionados con las políticas, los procedimientos y los procesos de compliance; • el asesoramiento a la organización en materias relacionadas con compliance. Debe ejercer vigilancia sobre:
FUNCIÓN DE COMPLIANCE • Los tomadores de decisiones de alto nivel y a la oportunidad de contribuir en etapas tempranas de los procesos de toma de decisiones, • todos los niveles de la organización; • todo el personal, información documentada y datos necesarios; • el asesoramiento experto en legislación, normativa, códigos y normas organizacionales pertinentes. Asegurarse de que se le ha dado acceso a:
CRONOGRAMA • Elaborar el cronograma de la implementación utilizando herramientas de control de proyectos o el diagrama Gantt • Establecer las fechas estimadas de cada actividad así como los entregables • Comenzar con un kick-off para dar a conocer el proyecto a la gerencia y personal clave de la organización. La siguiente actividad debe ser un curso de interpretación de la norma para este personal. Enero Febrero Marzo Abril Mayo Junio Diagnósitico de brechas X Capacitación en el Sistema de Gestión (SG) X Análisis de contexto, partes interesadas y riesgos X Diseño e implementación del SG X X X Verificación: revisión por la dirección y auditoría interna X MESES ACTIVIDADES
Reunión de inicio del proyecto El propósito de la reunión de inicio del proyecto es: Informar sobre el proyecto de implementación del SGCO a las personas clave de la organización, haciendo una breve presentación del objetivo, la importancia y de cómo se desarrollará el proceso de implementación Dar a conocer el cronograma del proyecto de implementación, destacando la importancia de cumplir con las fechas establecidas Responder a las interrogantes que puedan surgir con respecto al proceso del proyecto de implementación. Celebrar la reunión de inicio del proyecto con la alta dirección, personas clave responsables de las funciones o procesos que se estarán involucradas en el proceso de implementación. La información del grado de detalle de las actividades que se llevarán a cabo, depende de la magnitud del proyecto y las áreas involucradas. Debe conservarse el registro de los asistentes a la reunión de inicio del proyecto.
RECOPILACIÓN DE INFORMACIÓN • Observar las operaciones, sistemas y personal involucrado con el finde entenderlo • Enviar cuestionarios a los grupos de personas que representan las partes interesadas • Conducir entrevistas a personas clave de diferentes niveles jerárquicos dentro de la organización • Leer y analizar la información documentada relevante (políticas internas, procedimientos, últimos informes de auditoría, contratos) Observación Cuestionarios Entrevistas Revisión de información documentada
IDENTIFICACIÓN DE BRECHAS DIAGNÓSITICO DE BRECHAS: • El punto de partida o línea base de la implementación se determina con el diagnóstico para la identificación de brechas, se revisan con un “chek list” los requisitos de la norma y el grado en que la organización cumple con ellos al comenzar la implementación. • Elaborar el informe de diagnóstico.
EJEMPLO PARA LA IDENTIFICACIÓN DE BRECHAS Diagnóstico del SGCO-ISO 37301 Factores Valoración Compromiso de la Alta Dirección Política 0 Roles y responsabilidades 3 Función de compliance 2 Riesgos de compliance Evaluación de los riesgos de compliance 2 Competencia y Controles Competencia 3 Controles y procedimientos 3 Planteamiento de inquietudes 3 Cultura y Comunicación Cultura de compliance 1 Formación y sensibilización 1 Comunicación 0 Seguimiento y Medición Objetivos de Compliance / Indicadores 1 Auditoría Interna 0
Apoyo de la alta dirección
ÓRGANO DE GOBIERNO Y ALTA DIRECCIÓN La implementación del SGCO requiere un compromiso activo del órgano de gobierno y de la alta dirección, que permee a toda la organización Es vital para el SGCO que el órgano de gobierno y la alta dirección demuestren clara y de manera visible su compromiso para logar el objetivo de implementar el SGCO Un hecho de no cumplimiento de compliance que se produzca en la organización, puede resultar en un impacto negativo como daño a la reputación, pérdidas financieras significativas y sanciones penales para los infractores.
MEJORES PRÁCTICAS DEL COMPROMISO POR PARTE DE LA ALTA DIRECCIÓN Compromiso declarado de lo alto: El Directorio garantiza que la gerencia, los empleados y las partes interesadas, conocen su compromiso con la política de compliance y el SGCO. Esto incluye realizar compromisos de alto perfil, tanto internos como externos, en valores éticos y en estar comprometidos con este SG.. Cumplimiento de las leyes: la organización se compromete a cumplir con las leyes y regulaciones pertinentes, y tiene un procedimiento para ello. Puede parecer superfluo afirmar que una organización debería cumplir con las leyes, pero hacerlo como un compromiso explícito, enfoca la atención en el cumplimiento que es complejo y requiere de un proceso sistemático para lograrlo. Responsabilidad y transparencia: el Directorio es responsable ante los accionistas y otras partes interesadas sobre qué tan bien la compañía está cumpliendo con sus compromisos de hacer negocios con ética. Conocimiento y vigilancia: la alta gerencia garantiza que está informada y vigilante sobre los riesgos de compliance, problemas emergentes, avances en las mejores prácticas y cambios a la legislación pertinente, así como del diseño e implementación del SGCO.
Cualificado: el Directorio está adecuadamente informado para cumplir con sus responsabilidades relacionadas con la política de compliance. Asignación clara de responsabilidades: la junta garantiza que la autoridad y las responsabilidades de la implementación del SGCO se asigna claramente a toda la organización. Supervisión independiente: evaluación independiente de la implementación del SGCO proporcionado por directores no ejecutivos a través de un subcomité de la junta directiva que supervisa el compromiso con la ética y la integridad. Enfoque de riesgo: la junta decide el enfoque de riesgo para el compliance. MEJORES PRÁCTICAS DEL COMPROMISO POR PARTE DE LA ALTA DIRECCIÓN
Organizacional: debe asignarse responsabilidades claras para la implementación del SGCO, estableciendo procedimientos y estructuras organizativas de apoyo. Revisión: Contrarrestar el no cumplimiento de compliance debe ser un tema permanente en la agenda del Directorio y la gerencia, debiendo recibir revisiones periódicas sobre la implementación del SGCO y los cambios constantes del entorno externo, nuevas leyes, prácticas emergentes, cambios sociales y nuevas tecnologías. Conocimiento de los riesgos legales para directores y funcionarios: los directores deben ser conscientes de los crecientes riesgos penales y civiles para directores y funcionarios relacionados con los no cumplimientos de compliance. MEJORES PRÁCTICAS DEL COMPROMISO POR PARTE DE LA ALTA DIRECCIÓN (continuación)
NOMBRAMIENTO Y SOPORTE A LA FUNCIÓN DE COMPLIANCE Nombrar y asignar a la función de compliance, responsabilidad y autoridad para supervisar el diseño e implementación del SGCO Asignar a esta función a la persona o personas que tengan la competencia apropiada y dotarle de los recursos suficientes La función de compliance debe tener acceso directo y rápido al órgano de gobierno y a la alta dirección.
Órgano de gobierno y alta dirección El órgano de gobierno y la alta dirección deben demostrar liderazgo y compromiso con respecto al SGCO: — asegurando que se establezcan la política de compliance y los objetivos que estos sean compatibles con la dirección estratégica de la organización; — asegurando la integración de los requisitos del SGCO en los procesos de negocio de la organización; — asegurando que los recursos que se necesitan para el SGCO están disponibles; — comunicando la importancia de una gestión del compliance eficaz y conforme con los requisitos del SGCO; — asegurando que el SGCO logre sus resultados previstos; — dirigiendo y apoyando a las personas, para contribuir a la eficacia del SGCO; — promoviendo la mejora continua; — apoyando a otros roles pertinentes a demostrar su liderazgo en sus correspondientes áreas de responsabilidad.
Órgano de gobierno y alta dirección El órgano de gobierno y la alta dirección deben: — establecer y defender los valores de la organización; — asegurar que se desarrollan e implementan políticas, procesos y procedimientos para alcanzar los objetivos de compliance; — asegurar que se les informa de manera oportuna de las cuestiones relacionadas con compliance, incluidos los casos de no cumplimiento de compliance, y asegurar que se toman las acciones adecuadas; — asegurar que se mantiene el compromiso de compliance y que se gestionan adecuadamente los no cumplimientos de compliance y los comportamientos contrarios a compliance; — asegurar que se incluyen las responsabilidades de compliance en las descripciones de los puestos de trabajo según corresponda; — designar o nominar una función de compliance; — asegurar que se establece un sistema para el levantamiento y el tratamiento de inquietudes.
Cultura de compliance Debe desarrollar, mantener y promover una cultura de compliance a todos los niveles de la organización. El órgano de gobierno, la alta dirección y la dirección deben demostrar un compromiso activo, visible, consistente y sostenido con un estándar común de comportamiento y conducta que se requiere en toda la organización. La alta dirección debe fomentar comportamientos que creen y apoyen el compliance. Debe evitar y no tolerar comportamientos que comprometan el compliance.
La cultura de integridad “Las organizaciones están cada vez más convencidas de que si aplican valores vinculantes y una gestión adecuada del compliance, pueden salvaguardar su integridad y evitar o minimizar los no cumplimientos de compliance con las obligaciones de compliance de la organización. Integridad y un compliance eficaz son, por tanto, elementos clave para llevar una buena y diligente gestión. El compliance también contribuye al comportamiento socialmente responsable de las organizaciones”. (Introducción ISO 37301)
Gobernanza del compliance El órgano de gobierno y la alta dirección deben asegurar que se implementan los siguientes principios: — el acceso directo de la función de compliance al órgano de gobierno; — la independencia de la función de compliance; — la autoridad y la competencia adecuadas de la función de compliance.
Política de Compliance
Elaboración de la Política de Compliance Establecer el criterio que debe cumplir la política de compliance Seguir el proceso para un borrador de la política de compliance Obtener la aprobación de la alta dirección y del órgano de gobierno del borrador de la política de compliance Publicar y desplegar la política de compliance Comunicar la política de compliance Control, evaluación y revisión de la política de compliance.
El órgano de gobierno y la alta dirección deben establecer una política de compliance que: a) sea adecuada al propósito de la organización; b) proporcione un marco de referencia para el establecimiento de los objetivos de compliance; c) incluya el compromiso de cumplir los requisitos aplicables; d) incluya el compromiso de mejora continua del SGCO. Política de compliance
Política de compliance La política de compliance debe: — estar alineada con los valores, objetivos y estrategia de la organización; — requerir el cumplimento de las obligaciones de compliance de la organización; — apoyar los principios de la gobernanza del compliance; — hacer referencia a la función de compliance y describirla; — resumir las consecuencias de no cumplir con las obligaciones de compliance, las políticas, los procesos y los procedimientos de la organización; — fomentar el planteamiento de inquietudes y prohibir cualquier tipo de represalia; — estar escrita en un lenguaje sencillo de forma que todo el personal pueda entender fácilmente los principios y su intención; — implementarse y hacerse cumplir de forma adecuada. — estar disponible como información documentada; — comunicarse dentro de la organización; — estar disponible para las partes interesadas, según corresponda.
Planificación del SGCO
CONTEXTO INTERNO Y EXTERNO • Tomando como base la documentación de la organización y entrevistas, se elabora un cuadro con el contexto interno y externo en la implementación, el que debe ser revisado periódicamente. • Los documentos de referencia son: Informe o memoria anual, estatutos, informes de auditoría, página web. Considerar una gran variedad de cuestiones, que incluyen, pero no se limitan a: • el modelo de negocio, que incluye la estrategia, la naturaleza, el tamaño y el nivel de complejidad y sostenibilidad de las actividades y operaciones de la organización; • la naturaleza y el alcance de las relaciones comerciales con terceras partes; • el contexto legal y regulatorio; • la situación económica; • los contextos social, cultural y ambiental; • las estructuras, políticas, procesos, procedimientos y recursos internos, incluyendo la tecnología; • su cultura de compliance.
PARTES INTRESADAS AL SGCO • Las partes interesadas pertinentes al SGCO son identificadas por los responsables de cada área en la organización. • Establecer los requisitos pertinentes de las partes interesadas relevantes que se hayan identificado. • Determinar cuáles de los requisitos se abordarán en el SGCO y los mecanismos de control para dar cumplimiento.
Matriz de Poder/Interés de las Partes Interesadas PODER INTERÉS Alto Alto Bajo Bajo MONITOREAR MANTENERLO INFORMADO MANTENER SATISFECHO GESTIONAR DE CERCA
Identificación de los procesos y actividades clave Activos clave de la organización Procesos clave para lograr la misión de la organización Actividades para ofrecer sus productos o servicios
ALCANCE DEL SGCO • Determinar los límites y aplicabilidad del SGCO, considerando: ✓ Contexto 4.1 ✓ Necesidades y expectativas de las partes interesadas 4.2 ✓ Obligaciones de compliance 4.5 y Evaluación de riesgos 4.6. IMPORTANCIA: Una clara definición del alcance es un factor importante para el éxito de la implementación del SGCO, facilitando: • Identificar los principales riesgos de compliance • Determinar los límites geográficos, organizacionales o ambos, a los que el SGCO aplicará • Alentar el apoyo de las partes interesadas para la implementación del proyecto • Justificar el valor agregado para las partes interesadas. ALCANCE:
Definición de límites Concepto ¿Qué se incluye? ¿Qué se excluye? Propiedades / Ubicación Edificaciones Operaciones / actividades Límites físicos Concepto ¿Qué se incluye? ¿Qué se excluye? Procesos Estructura organizacional Personal / funciones Límites organizacionales
Los límites de la organización Debe considerarse lo siguiente: • Unidades de la organización: Departamentos, proyectos, subsidiarias, etc. • Estructura y responsabilidades de los gerentes • Procesos de negocio: Ventas, Administración y Finanzas, Logística, etc. Un método eficiente es evaluar la responsabilidad de quienes toman decisiones y sus áreas de influencia dentro de la organización. Los resultados de este análisis son: La descripción de los límites de la organización con la documentación que justifique las excepciones Descripción de la estructura organizacional incluida en el SGCO Identificación de los procesos de negocio con la información de sus activos (con sus respectivos dueños) Identificación de la dirección en la toma de decisiones y procesos
Determinación de la aplicabilidad de los requisites de la ISO 37301 La organización requiere definir si todos los requisitos de la ISO 37301 son aplicables en el alcance determinado para el SGCO Se puede revisar la aplicabilidad de los requisitos con base al tamaño y complejidad de las operaciones de la organización, el modelo de gestión que ha adoptado, el rango de sus actividades y la naturaleza de los riesgos y oportunidades identificados.
Determinación del alcance La organización debe determinar el alcance para el SGCO de manera y en términos adecuados a su tamaño, naturaleza y complejidad. El alcance debería ser: •Tan simple como sea posible •Comprensible para las partes externas y aquellos dentro de los que tienen conocimiento limitado a cerca de la organización •Suficientemente preciso para mostrar lo que cubre el SGCO, si la organización desea ir a un proceso de certificación formal. NOTA: El proceso para determinar el alcance del SGCO se completa a nivel de la alta dirección; pueden ser asistidos por expertos en materia de alcance, tales como consultores o analistas de negocio.
Cambios en el alcance El alcance puede cambiar a través del tiempo mientras el SGCO continúa permitiendo que la organización alcance sus objetivos de compliance. Los cambios pueden ser hechos como resultado de: •Extender el alcance a otras unidades de la organización •Cambios en el contexto externo (legal, competitivo, tecnológico) •La consideración de nuevos escenarios de riesgos de compliance. Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado.
Los requisitos con los que una organización debe cumplir obligatoriamente pueden incluir: Obligaciones de compliance — sentencias de cortes o tribunales administrativos; — tratados, convenciones y protocolos. — acuerdos con grupos comunitarios u organizaciones no gubernamentales; — acuerdos con autoridades públicas y clientes; — requisitos organizacionales, como políticas y procedimientos; — principios o códigos de práctica; — etiquetado o compromisos medioambientales. Los requisitos que una organización elige cumplir voluntariamente pueden ser: — obligaciones derivadas de acuerdos contractuales; — normas organizacionales e industriales pertinentes.
Identificar sistemáticamente las obligaciones de compliance como resultado de las actividades, productos y servicios. Evaluar el impacto de éstas en las operaciones. Obligaciones de compliance Debe disponerse de procesos para: — identificar obligaciones de compliance nuevas y modificadas para asegurar un cumplimiento continuo; — evaluar el impacto de los cambios identificados e implementar cualquier cambio necesario en la gestión de las obligaciones de compliance. Conservar la información documentada sobre sus obligaciones de compliance.
— leyes y reglamentos; — permisos, licencias y otras autorizaciones; — órdenes, reglas u orientaciones emitidas por agencias reguladoras Obligaciones de compliance El marco de un SGCO es estructural: la infraestructura necesaria sobre la que se construye este sistema. Es necesario hacerlo operativo implementando políticas, procesos y procedimientos. Mantener y mejorar continuamente el SGCO que tiene muchos elementos. Algunos elementos del SGCO se diseñan para apoyar comportamientos deseados, otros para evitar comportamientos no deseados Otros elementos sirven para realizar un seguimiento del desempeño del compliance o emitir alertas ante no cumplimientos de compliance.
Los procesos para obtener información sobre cambios en leyes y en otras obligaciones de compliance pueden incluir: Obligaciones de compliance — estar en las listas de distribución de los reguladores pertinentes; — ser miembros de grupos profesionales; — suscribirse a servicios de información pertinentes; — asistir a foros de la industria y seminarios; — revisar las páginas web de los reguladores; — mantener reuniones con los reguladores; — llegar a acuerdos con asesores legales; — revisar las fuentes de las obligaciones de compliance (pronunciamientos regulatorios y sentencias judiciales). Identificar las obligaciones por departamentos, funciones y diferentes tipos de actividades organizacionales para determinar quiénes se ven afectados por las obligaciones de compliance.
Registro de obligaciones de compliance Ejemplo Legislación Descripción de la obligación Comentario de gobernanza Responsable Impuesto a los salarios La ley impone un impuesto a los salarios a partir de determinado monto Obligación de retener impuestos sobre la nómina de todos los salarios imponibles, declarar y pagar mensualmente al SENIAT. Contador Seguro social La ley establece la administración de la seguridad social y obligación de informar las incorporaciones de nuevos empleados que deben ser registrados en el seguro social. Obligación de reportar mensualmente al Seguro Social, las nuevas incorporaciones y los retiros de personal. Jefe de R.H. Protección de la familia La ley protege a la familia haciendo nulo el despido de mujeres embarazadas, con hijos recién nacidos o en período de lactancia. Haciendo nulo el despido que se produce en cualquier momento del periodo de gestación o dentro de los 90 días posteriores al nacimiento. Obligación de cumplir con la protección de la familia desde la gestación. Queda prohibido despedir al personal femenino que se encuentre en estado de embarazo o lactancia hasta 90 días después del nacimiento. Jefe de R.H.
RIESGOS, OPORTUNIDADES Y OBJETIVOS DE COMPLIANCE 1. Identificación de riesgos y oportunidades 2. Análisis de riesgos y oportunidades 3. Evaluación de riesgos y oportunidades 4. Objetivos de compliance 5. Acciones para el tratamiento de riesgos y oportunidades
IDENTIFICACIÓN DE LOS RIESGOS DE COMPLIANCE Los riesgos identificados son clasificados por proceso / área, describiendo el riesgo en cada caso. Elaborar una matriz que incluya lo siguiente: •Causas y consecuencias que puedan tener los escenarios de riesgo identificados •Definir la Probabilidad de que se materialice el riesgo •Establecer el Impacto del riesgo en la organización •Determinar los criterios de riesgo, escala de valores del impacto y la probabilidad, elaborando un procedimiento. Se puede incluir la vulnerabilidad y velocidad. •Controles existentes •Proceder a establecer los planes de acción para mitigar los riesgos. Identificar las oportunidades para el SGCO, clasificarlas por área: •Establecer los beneficios potenciales de cada oportunidad, el tratamiento que ser le va a dar y el plan de seguimiento.
EJEMPLO DE LA MATRIZ DE RIESGOS Y OPORTUNIDADES DE COMPLIANCE IDENTIFICACION DEL RIESGO N° PROCESO / ÁREA DESCRIPCIÓN DEL RIESGO CAUSA DEL RIESGO CONSECUENCIA DEL RIESGO EVALUACIÓN DEL RIESGO ANÁLISIS DEL RIESGO CONTROLES EXISTENTES PROBABILIDAD IMPACTO NIVEL DE RIESGO Inherente MITIGACIÓN DEL RIESGO TRATAMIENTO DE LOS RIESGOS PLAN DE ACCIÓN PARA MITIGAR LOS RIESGOS RESPONSABLE FECHA DE IMPLEMENTACIÓN IDENTIFICACION DE LA OPORTUNIDAD DETERMINACIÓN DE LA OPORTUNIDAD N° DESCRIPCIÓN DE LA OPORTUNIDAD ÁREA DE NEGOCIO OCURRENCIAS ANTERIORES BENEFICIOS POTENCIALES TRATAMIENTO PLAN DE SEGUIMIENTO RESPONSABLES FECHA DE IMPLEMEN- TACIÓN PROGRAMADA FECHA DE IMPLEMEN- TACIÓN EJECUTADA MATRIZ DE RIESGOS: MATRIZ DE OPORTUNIDADES:
Debe identificarse, analizar y valorar los riesgos de compliance, basándose en una evaluación de estos riesgos. Identificar los riesgos de compliance relacionandos a las obligaciones de compliance con actividades, productos, servicios y aspectos pertinentes de las operaciones. Debe evaluarse los riesgos de compliance relacionados con procesos contratados externamente y de tercera parte. Los riesgos de compliance deben evaluarse periódicamente y siempre que haya cambios materiales en las circunstancias o el contexto de la organización. Debe conservarse la información documentada sobre la evaluación de los riesgos de compliance y sobre las acciones para abordar los riesgos de compliance. Evaluación de riesgos de compliance
Al planificar el sistema de gestión del compliance, la organización debe considerar el contexto interno y externo, los requisitos de las partes interesadas y determinar los riesgos y oportunidades que necesitan abordarse para: — asegurar que el SGCO puede lograr los resultados previstos; — prevenir o reducir los efectos no deseados; — lograr la mejora continua. Acciones para abordar riesgos y oportunidades Por otra parte debe considerar — sus objetivos de compliance; — las obligaciones identificadas de compliance; — los resultados de la evaluación de los riesgos de compliance.
a) las acciones para abordar los riesgos y oportunidades; b) la forma de: 1) integrar e implementar las acciones en sus procesos del S. G. del compliance; 2) evaluar la eficacia de estas acciones. La organización debe planificar: Acciones para abordar riesgos y oportunidades
RECURSOS Y COMPETENCIA 1. Identificación de recursos 2. Estimación de los recursos 3. Preparación del calendario para los recursos 4. Monitoreo de los recursos 5. Analizar las necesidades de competencias 6. Diseño del plan de capacitación 7. Capacitaciones 8. Evaluación de los resultados de las capacitaciones 9. Conservar la información documentada
RECURSOS PERSONAL • Función de Compliance • Gerencia • Contador • Personal de ventas • Técnicos • Analistas INFRAESTRUCTURA • Equipos • Edificios • Espacio de trabajo • Servicios • Transporte • Comunicaciones AMBIENTE DE TRABAJO • Luz suficiente • Limpieza • Sillas ergonómicas • Protección de ruidos Los recursos de la organización pueden definirse como humanos, físicos, financieros o factores de conocimiento que se requiera para una efectiva operación y logro de sus objetivos. Las organizaciones necesitan diversos tipos de recursos para operar y entregar productos o servicios a sus clientes.
Calendario de recursos Especificación de recursos • Detalle de los recursos necesarios para completar el proyecto de implementación del SGCO Definición de la frecuencia • Las veces que se requerirán los recursos (por semana / mes) Definición de la cantidad • Determinar la cuantía de cada recurso (horas, monto, número) en períodos establecidos Además de los indicados, la organización puede requerir una lista de las potenciales restricciones que pueden surgir durante el proyecto de implementación del SGCO.
Monitoreo de recursos La identificación, estimación y calendario de los recursos, debe ser monitoreado con herramientas de seguimiento a los presupuestos de los recursos planificados y tiempos estimados. Utilizando las herramientas de monitoreo efectivas, la organización estará en la capacidad de: •Ser más efectiva en la gestión del personal •Tomar decisiones con base a la información con base a datos •Monitorear los recursos en tiempo real •Tener una amplia perspectiva sobre la marcha del proyecto de implementación del SGCO.
PLAN DE COMUNICACIONES Organización 123, SA PLAN DE COMUNICACIONES DEL SISTEMA DE GESTIÓN DEL COMPLIANCE ASUNTO A COMUNICAR ¿Qué? EMISOR ¿Quién? RECEPTOR ¿A quién? MEDIOS ¿Cómo? DIRECCIÓN CUANDO Y FRECUENCIA INTERNA EXTERNA Política de compliance Alta Dirección, Función de Compliance Todo el personal Intranet, Carteleras, Folletos, Página Web. Inducciones, capacitaciones. X Permanente Al ingreso a la organización y periódicamente Clientes y proveedores y demás partes Interesadas Correo electrónico, Página Web. X Permanente, al iniciar una relación comercial con clientes o proveedores Objetivos del SGCO Alta Dirección, Función de Compliance Todo el personal y contratistas involucrados en el SGCO Intranet, Carteleras, Folletos, Página Web. Inducciones, capacitaciones. X X Permanente Al ingreso a la organización, al iniciar un trabajo mayor y periódicamente Análisis de Contexto Junta Directiva Todo el personal Revisión por la Dirección Intranet X Anualmente y cuando existan cambios relevantes Otros asuntos por comunicar: Partes Interesadas, Matriz de riesgos, controles de los riesgos de compliance, programa de sensibilización y difusión, lecciones aprendidas de las investigaciones de denuncias, acciones correctivas y preventivas, gestión del canal de denuncias, sugerencias e iniciativas de mejora.
ANALIZAR LAS NECESIDADES DE COMPETENCIAS 1. Identificar los niveles de las competencias existentes 2. identificar las necesidades de competencias requeridas 3. comparar las necesidades de competencias requeridas con los niveles de competencias existentes 4. Utilizar el pensamiento basado en riesgos para priorizar las acciones para cerrar las brechas de competencias
PROCESO DE EMPLEO Establecer procesos de manera que: a) las condiciones de empleo requieran que el personal cumpla con las obligaciones, las políticas, los procesos y los procedimientos de compliance de la organización; b) en un periodo de tiempo razonable desde su incorporación al empleo, el personal reciba una copia o se le dé acceso a la política de compliance y a formación relacionada con esa política; c) se tomen las acciones disciplinarias adecuadas contra el personal que infrinja las obligaciones, las políticas, los procesos y los procedimientos de compliance de la organización. Considerar los riesgos de compliance que presentan los roles y el personal. Aplicar la debida diligencia antes de cualquier contratación, cambio de puesto o promoción. Revisión periódica de las metas de desempeño, bonificaciones y demás incentivos. Verificar que se aplican las medidas adecuadas para evitar que se fomente el no cumplimiento de compliance.
Formación y toma de conciencia
Debe proporcionar formación al personal pertinente de forma regular, desde su incorporación y a intervalos planificados determinados. La formación debe: a) ser adecuada a los roles del personal y a los riesgos de compliance a los que está expuesto el personal; b) evaluarse en términos de eficacia; c) revisarse regularmente • Teniendo en cuenta los riesgos de compliance identificados, debe asegurarse de que se implementan procedimientos para abordar la toma de conciencia y la formación en materia de compliance. • Los registros de formación se deben conservar como información documentada. Formación
Toma de conciencia Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia de: — la política de compliance; — su contribución a la eficacia del SGCO, incluidos los beneficios de una mejora del desempeño del compliance; — las implicaciones de no cumplir los requisitos del SGCO. — los medios y procedimientos para plantear inquietudes de compliance; — la relación entre la política de compliance y las obligaciones de compliance pertinentes para sus roles; — la importancia de apoyar la cultura de compliance.
PLAN DE CAPACITACIÓN Y CONCIENTIZACIÓN El propósito de la capacitación y concienciación es ayudar a asegurar que el personal pertinente entienda, según corresponda a su función, dentro o con la organización: • los riesgos de compliance que ellos y la organización enfrentan; • la política de compliance; • los aspectos del sistema de gestión del compliance correspondientes a su función; • cualquier acción preventiva y de reporte necesaria que precisen realizar en relación a cualquier riesgo o sospecha de no cumplimientos de compliance. El Plan de Capacitación y Concientización de compliance, forma parte de la planificación anual de capacitaciones que se elabora en general para todo el personal en el área de RH.
INFORMACIÓN DOCUMENTADA DEL SGCO Recepción de la política de compliance por parte del personal Objetivos de compliance y planificación para lograrlos Resultados de la evaluación de los riesgos de compliance Evidencias de la formación de compliance Procedimientos para controlar las obligaciones y riesgos de compliance Registros de las obligaciones de compliance Acciones y resultados de las inquietudes planteadas en relación con: •1) cualquier debilidad del sistema de gestión del compliance; •2) incidentes sobre no cumplimientos de compliance; Resultados del seguimiento, investigación y auditoría llevados a cabo por la organización o por terceros.
IMPORTANCIA DE LA INFORMACIÓN DOCUMENTADA El propósito además de servir como evidencia de conformidad del cumplimiento de un requisito, es servir de guía para la operación del SGCO y proveer información sobre la efectividad de los procesos y oportunidades de mejora La preparación de la información documentada no debe se en sí el objetivo. Esta debe ser un valor agregado para la actividad del SGCO Debe ser creada, mantenida y protegida de manera apropiada y suficiente para implementar y operar la gestión del SGCO.
Establecimiento de controles y procedimientos
Se debe implementar controles para gestionar sus obligaciones de compliance y los riesgos de compliance asociados. Estos controles se deben mantener, revisar y probar periódicamente para asegurarse de que continúan siendo eficaces. NOTA: Los controles de prueba implican realizar un ejercicio diseñado para ver si el control cumple su propósito, si realmente es eficaz a la hora de reducir el impacto del riesgo o la probabilidad de que este se produzca Controles y procedimientos
CANAL DE DENUNCIAS Elementos clave: • Crear una cultura de confianza • Ofrecer variedad de canales • Denunciantes no serán penalizados sino reconocidos • Tratar las denuncias con prontitud • Seguir los casos hasta la conclusión • Información de problemas críticos a la alta gerencia • Revisión independiente.
CANAL DE DENUNCIAS – BUENAS PRÁCTICAS Los recursos humanos son un actor clave Ofrecer una variedad de canales Comunicar Que los canales de asesoramiento sean recursos de elección Completar el proceso de investigación de las denuncias presentadas Tratamiento adecuado de las investigaciones Revisión independiente Analizar y monitorear Asegurar la revisión por parte de la alta gerencia Informar los resultados públicamente
PROCESOS DE INVESTIGACIÓN Los investigadores involucrados en procesos de investigación deben ser tan objetivos como sea posible. Deben utilizar políticas y procedimientos internos para realizar su trabajo. Este es un elemento clave de un procesos integrados y confiables Los procesos de investigación deben ser eficientes y efectivos. Involucrar a los empleados necesarios y conducir el trabajo en el menor tiempo posible.
Designación de los investigadores Dependiendo de la naturaleza de la infracción cometida, la organización puede decidir por cuál departamento o investigador debe ser manejado el caso. Diferentes organizaciones asignan la labor de investigación a diferentes departamentos, tal como recursos humanos, auditoría, cumplimiento, etc. Dependiendo del caso que esté siendo investigado, personas de varias pueden estar involucradas con el fin de tener la mejor experticia.
Evaluación de desempeño
SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN Seguimiento • Es el proceso de observar un sistema, proceso o producto para determinar los niveles de su desempeño Medición • Proceso que determina el valor y tratamiento de un sistema, proceso o producto Análisis • Proceso de examen de un sistema, proceso o producto con el fin de entenderlo mejor Evaluación • Es el proceso de estimación de la efectividad de un sistema, proceso o producto.
SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN 1. Definir las necesidades de información 2. Definir a qué se va a hacer seguimiento 3. Definir quién va a hacer seguimiento, medición, análisis y evaluación 4. Establecer los indicadores de desempeño 5. Reporte de los resultados Conservar la información documentada como evidencia
La información documentada para proporcionar evidencia de los resultados debe estar disponible. Debe realizar seguimiento del sistema de gestión del compliance para asegurar que se alcanzan los objetivos de compliance. Debe determinar: — qué debe ser objeto de seguimiento y qué es necesario medir; — los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar resultados válidos; — cuándo se deben llevar a cabo el seguimiento y la medición; — cuándo se deben analizar y evaluar los resultados del seguimiento y la medición. Seguimiento, medición, análisis y evaluación
Desarrollo de indicadores Se debe: — desarrollar, implementar y mantener un conjunto de indicadores adecuados que ayuden a evaluar el logro de los objetivos de compliance y a evaluar el desempeño del compliance.
Auditoría interna Debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar información acerca de si el S.G. del compliance: a) cumple: — los requisitos propios de la organización para su SGCO; — los requisitos de esta norma; b) se implementa y mantiene eficazmente.
Definición de Auditoría Proceso sistemático, independiente y documentado para obtener evidencia objetiva y evaluarla de manera objetiva, con el fin de determinar la extensión en que se cumplen los criterios de auditoría. Verifica si el auditado pone en evidencia lo que hace, en cumplimiento de lo establecido. AUDITORÍA INTERNA
Tipos de auditoría Primera Parte Auditoría interna: Auditores de la propia organización evalúan su propio sistema de gestión. Segunda Parte Auditoría en la que un cliente audita a un proveedor ó proveedor potencial para dictaminar la capacidad de cumplir las condiciones contractuales. Tercera Parte Auditorías realizadas por organizaciones auditoras independientes, tales como autoridades reglamentarias o aquellas que proporcionan la certificación Internas Externas
Principales servicios y actividades de auditoría interna 1. Evaluación de los objetivos del SGCO 2. Evaluación del proceso de gestión de riesgos 3. Evaluación de la efectividad y eficiencia de los procesos y controles 4. Evaluación de las revisiones del seguimiento y mediciones del SGCO 5. Evaluación de los procesos de mejora continua del SGCO 6. Coordinación para las auditorías externas. AUDITORÍA INTERNA
Gestión de un programa de auditoría Planificar Hacer Verificar Actuar Establecimiento de los objetivos del programa de auditoría Determinación y evaluación de riesgos y oportunidades del programa Establecimiento del programa de auditoría Implementación del programa de auditoría Seguimiento del programa de auditoría Revisión y mejora del programa de auditoría A B
Planificar Hacer Verificar Actuar Inicio de la auditoría Preparación de las actividades de auditoría Preparación y distribución del informe de auditoría Finalización de la auditoría Realización de las actividades de seguimiento de una auditoría A B Realización de las actividades de auditoría
REVISIÓN POR LA DIRECCIÓN Definición: • La revisión por la dirección es una revisión periódica del desempeño del SGCO por la alta dirección para analizar si el sistema de gestión idóneo, adecuado y efectivo. Término Concepto Idóneo Los resultados son logrados de la mejor manera posible Adecuado Funciona de acuerdo con los criterios establecidos Efectivo El sistema cumple con las necesidades de la organización.
Revisión por la dirección Debe incluir: a) el estado de las acciones de las revisiones por la dirección previas; b) los cambios en las cuestiones externas e internas que sean pertinentes para el SGCO; c) los cambios en las necesidades y las expectativas de las partes interesadas que son pertinentes para el SGCO; d) la información sobre el desempeño del compliance, incluidas las tendencias relativas a: — las no conformidades, no cumplimientos de compliance y acciones correctivas; — el seguimiento y los resultados de las mediciones; — los resultados de las auditorías; e) las oportunidades de mejora continua. El órgano de gobierno y la alta dirección deben revisar el SGCO de la organización a intervalos planificados, para asegurarse de su idoneidad, adecuación y eficacia continuas
REVISIÓN POR LA DIRECCIÓN Actividades: 1. Preparación de la revisión por la dirección 2. Conducir la revisión por la dirección 3. Determinar los resultados de la revisión por la dirección 4. Seguimiento de la revisión por la dirección.
Fuentes de opinión sobre el desempeño de compliance Se debe: — establecer, implementar, evaluar y mantener procesos para buscar y recibir opiniones de su desempeño del compliance de una serie de fuentes. La información debe analizarse y evaluarse críticamente para identificar las causas raíz de no cumplimientos de compliance, asegurar que se toman las acciones adecuadas y reflejar esta información en la evaluación periódica de riesgos.
Informes de compliance Debe establecer, implementar y mantener procesos para proporcionar información en materia de compliance con el fin de asegurar que: a) se definen los criterios adecuados para la presentación de informes; b) se establecen plazos para la presentación periódica de informes; c) se implementa un sistema de informes de excepciones que facilita información ad hoc; d) se implementan sistemas y procesos para asegurar la exactitud e integridad de la información; e) se facilita una información exacta y completa a las funciones o áreas apropiadas, para permitir que se adopten acciones preventivas, correctivas y correcciones de manera oportuna. Cualquier informe emitido por la función de compliance para el órgano de gobierno o la alta dirección debe protegerse adecuadamente de modificaciones.
Mantenimiento de registros Se debe: mantener registros exactos y actualizados de las actividades de compliance con objeto de ayudar en los procesos de seguimiento y revisión y para demostrar la conformidad con el S. G. del compliance.
DEFINICIONES Mejora continua •Actividad recurrente para mejorar el desempeño Acción preventiva •Acción para eliminar la causa potencial de una no conformidad o de otra situación potencialmente indeseable Acción correctiva •Acción para eliminar la causa potencial de una no conformidad y prevenir su recurrencia Corrección •Acción para eliminar una no conformidad detectada.
NO CONFORMIDADES Y ACCIONES CORRECTIVAS Lista de actividades 1. Identificación de la no conformidad 2. Reaccionar ante la no conformidad 3. Establecer los hechos para analizar la causa raíz 4. Análisis de la causa raíz de la no conformidad 5. Presentar los resultados 6. Definir el plan de acción 7. Implementar acciones correctivas 8. Mantener información documentada como evidencia 9. Revisar la efectividad de las acciones tomadas.
Beneficios de la mejora continua Aumento de la eficiencia •La mejora continua permite el incremento de la productividad tanto que los cambios pueden mantenerse en el largo plazo para resultados positivos Equipos colaborativos •El trabajo continuo hacia un objetivo común ayuda a construir nuevas relaciones entre los equipos y refuerza los existentes Aumento de la satisfacción de los clientes •Mientras se mejora activamente los procesos, simultáneamente las organizaciones incrementan la calidad de los productos y servicios que ofrecen Reducción de errores •Con la mejora continua de los procesos, el número de errores en estos procesos también se reducirán.
MEJORA CONTINUA Lista de actividades 1. Monitoreo de los factores de cambio 2. Recopilar entradas para la mejora continua 3. Planificar e implementar cambios al SGCO 4. Mantener y actualizar la información documentada 5. Documentar las mejoras
VALIDACIÓN DEL CUMPLIMIENTO DE REQUISITOS Comprobar la aprobación de la política de compliance y el despliegue de la misma Ver si el contexto interno y externo, las partes interesadas están completos y aprobados Verificar que la Matriz de riesgos de compliance y oportunidades, así como la Matriz de Objetivos del SGCO están completos y aprobados Revisar obligaciones de compliance para ver si se incluyeron los cronogramas y alertas para el cumplimiento Validar con el informe de diagnóstico si todas las brechas fueron cubiertas. Inspeccionar si todos los procedimientos del SGCO están aprobados por las áreas respectivas.
VALIDACIÓN DEL CUMPLIMIENTO DE REQUISITOS (Continuación) Probar que el SGCO y los controles funcionan correctamente, a fin de garantizar que los procedimientos de compliance se han implementado de manera efectiva y eficiente. Que las herramientas tecnológicas y documentación, cubren adecuadamente las funciones más vulnerables. Las funciones más vulnerables son: •Leyes fiscales •Contratos •Beneficios del personal •Gestión de permisos y aprobaciones regulatorias.
PROCESO DE CERTIFICACIÓN Implementación del SGCO • Auditoría interna y revisión por la dirección • Selección del organismo de certificación Preparación de la auditoría • Fase 1 de la auditoría • Fase 2 de la auditoría (en el sitio) Seguimiento (si fuera necesario) • Confirmación y registro • Obtención del certificado Antes de la auditoría Auditoría inicial Después de la auditoría
PREPARACIÓN PARA LA AUDITORÍA DE CERTIFICACIÓN Entender la norma Identificar expertos en la materia Asignar suficientes recursos Realizar una auto - evaluación Preparar al personal Recopilar la información documentada Preparación para una evaluación de la conformidad de tercera parte del SGCO
FACTORES CLAVE PARA EL ÉXITO DE LA IMPLEMENTACIÓN Compromiso de la alta dirección con el programa de compliance. Equipo de implementación que incluya representación de toda la organiz. para asegurar que se cuenta con un apoyo generalizado en todos los niveles. Elaborar la Matriz de riesgos de compliance considerando las obligaciones de compliance. Lograr consenso en las medidas que se van a implementar. Comunicación oportuna y apropiada sobre el Sistema de Gestión del Compliance: funciones, responsabilidades y plazos. Comunicar los beneficios de compliance en toda la organización y las partes interesadas.
CIERRE DEL PROYECTO DE IMPLEMENTACIÓN Formalmente, el cierre del proyecto es la última de las fases que componen el proceso de gestión del mismo, y aplica tanto al proyecto en su conjunto como a cada una de las fases de su ciclo de vida. De esta forma si tenemos un proyecto que se ejecuta en fases, cada una de las fases debe incluir su proceso de aceptación y cierre, ajustado a sus características concretas. SGCO IMPLEMENTADO
Muchas gracias!!!

Recomendados

MODULO 1 ANTISOBORNO 2019 ENVIADO EL 100719.pdf
MODULO 1 ANTISOBORNO 2019 ENVIADO EL 100719.pdfMODULO 1 ANTISOBORNO 2019 ENVIADO EL 100719.pdf
MODULO 1 ANTISOBORNO 2019 ENVIADO EL 100719.pdf
CarlosABoshellNorman
 
MODULO I DE MEDIO AMBIENTE ISO 14001-2015
MODULO I DE MEDIO AMBIENTE ISO 14001-2015MODULO I DE MEDIO AMBIENTE ISO 14001-2015
MODULO I DE MEDIO AMBIENTE ISO 14001-2015
Samir Velasquez
 
Fdis 14001
Fdis 14001Fdis 14001
Fdis 14001
Mauricio Rafael Arteaga
 
Fdis 14001
Fdis 14001Fdis 14001
Fdis 14001
Alejandro Betancur
 
Iso14000
Iso14000Iso14000
Iso14000
Elmer Castro Ramirez
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
Valle Magico
 
SISTEMA_INTEGRAL_DE_GESTION.ppt
SISTEMA_INTEGRAL_DE_GESTION.pptSISTEMA_INTEGRAL_DE_GESTION.ppt
SISTEMA_INTEGRAL_DE_GESTION.ppt
JorgeLuisMartnezMaca
 
SISTEMA_INTEGRAL_DE_GESTION.ppt
SISTEMA_INTEGRAL_DE_GESTION.pptSISTEMA_INTEGRAL_DE_GESTION.ppt
SISTEMA_INTEGRAL_DE_GESTION.ppt
JorgeLuisMartnezMaca
 

Recomendados

MODULO 1 ANTISOBORNO 2019 ENVIADO EL 100719.pdf
MODULO 1 ANTISOBORNO 2019 ENVIADO EL 100719.pdfMODULO 1 ANTISOBORNO 2019 ENVIADO EL 100719.pdf
MODULO 1 ANTISOBORNO 2019 ENVIADO EL 100719.pdf
CarlosABoshellNorman
 
MODULO I DE MEDIO AMBIENTE ISO 14001-2015
MODULO I DE MEDIO AMBIENTE ISO 14001-2015MODULO I DE MEDIO AMBIENTE ISO 14001-2015
MODULO I DE MEDIO AMBIENTE ISO 14001-2015
Samir Velasquez
 
Fdis 14001
Fdis 14001Fdis 14001
Fdis 14001
Mauricio Rafael Arteaga
 
Fdis 14001
Fdis 14001Fdis 14001
Fdis 14001
Alejandro Betancur
 
Iso14000
Iso14000Iso14000
Iso14000
Elmer Castro Ramirez
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
Valle Magico
 
SISTEMA_INTEGRAL_DE_GESTION.ppt
SISTEMA_INTEGRAL_DE_GESTION.pptSISTEMA_INTEGRAL_DE_GESTION.ppt
SISTEMA_INTEGRAL_DE_GESTION.ppt
JorgeLuisMartnezMaca
 
SISTEMA_INTEGRAL_DE_GESTION.ppt
SISTEMA_INTEGRAL_DE_GESTION.pptSISTEMA_INTEGRAL_DE_GESTION.ppt
SISTEMA_INTEGRAL_DE_GESTION.ppt
JorgeLuisMartnezMaca
 
NORMA ISO 9001:2015
NORMA ISO 9001:2015 NORMA ISO 9001:2015
NORMA ISO 9001:2015
JorgeMartinez1061
 
Iso 19600 2014
Iso 19600 2014Iso 19600 2014
Iso 19600 2014
Primala Sistema de Gestion
 
Modulo I grupo I
Modulo I grupo IModulo I grupo I
Modulo I grupo I
diplomaturacomahue
 
Modulo I grupo I
Modulo I grupo IModulo I grupo I
Modulo I grupo I
diplomaturacomahue
 
Metodologia de BSC.pdf
Metodologia de BSC.pdfMetodologia de BSC.pdf
Metodologia de BSC.pdf
JoaquinResendiz2
 
Herramientas de RSE
Herramientas de RSEHerramientas de RSE
Herramientas de RSE
Jesus Henriquez
 
Semana 2.pptx
Semana 2.pptxSemana 2.pptx
Semana 2.pptx
AdrianaMarquez55
 
20080416 standard iso38500
20080416 standard iso3850020080416 standard iso38500
20080416 standard iso38500
Guillermo Ramirez
 
Standard iso38500
Standard iso38500Standard iso38500
Standard iso38500
Floricel Lobo
 
Sistema de Gestión Ambiental ISO 14001
Sistema de Gestión Ambiental ISO 14001Sistema de Gestión Ambiental ISO 14001
Sistema de Gestión Ambiental ISO 14001
Uniambiental
 
3. implementación y auditoría de sistemas integrados de gestión mod ii iso 1...
3. implementación y auditoría de sistemas integrados de gestión mod ii iso 1...3. implementación y auditoría de sistemas integrados de gestión mod ii iso 1...
3. implementación y auditoría de sistemas integrados de gestión mod ii iso 1...
Pablo Adolfo Molinero Durand
 
NORMAS ISO. TEMAS SOBRE EL MEDIO AMBIENTE
NORMAS ISO. TEMAS SOBRE EL MEDIO AMBIENTENORMAS ISO. TEMAS SOBRE EL MEDIO AMBIENTE
NORMAS ISO. TEMAS SOBRE EL MEDIO AMBIENTE
menoperez86
 
SISTEMAS INTEGRADOS DE GESTION
SISTEMAS INTEGRADOS DE GESTIONSISTEMAS INTEGRADOS DE GESTION
SISTEMAS INTEGRADOS DE GESTION
Willam Ponte
 
norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion
Primala Sistema de Gestion
 
SISTEMA DE GESTION, AUDITORIA , MAPEO DE PROCESOS
SISTEMA DE GESTION, AUDITORIA , MAPEO DE PROCESOSSISTEMA DE GESTION, AUDITORIA , MAPEO DE PROCESOS
SISTEMA DE GESTION, AUDITORIA , MAPEO DE PROCESOS
Corelia Salazar
 
Iso sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020Iso sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020
Primala Sistema de Gestion
 
Sistemas De Gestion (Francis Leal)
Sistemas De Gestion (Francis Leal)Sistemas De Gestion (Francis Leal)
Sistemas De Gestion (Francis Leal)
Francislealg
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
unidad2_pdf1.pdf
unidad2_pdf1.pdfunidad2_pdf1.pdf
unidad2_pdf1.pdf
FundacionSemillasDEE
 
S10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdf
S10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdfS10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdf
S10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdf
Jorge Moreno
 
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxsenati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
nathalypaolaacostasu
 
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
MIGUELANGELLEGUIAGUZ
 

Más contenido relacionado

Similar a 0. Curso Gestión de compliance atualizado.pdf

SISTEMAS INTEGRADOS DE GESTION
SISTEMAS INTEGRADOS DE GESTIONSISTEMAS INTEGRADOS DE GESTION
SISTEMAS INTEGRADOS DE GESTION
Willam Ponte
 
S10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdf
S10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdfS10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdf
S10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdf
Jorge Moreno
 

Similar a 0. Curso Gestión de compliance atualizado.pdf (20)

NORMA ISO 9001:2015
NORMA ISO 9001:2015 NORMA ISO 9001:2015
NORMA ISO 9001:2015
 
Iso 19600 2014
Iso 19600 2014Iso 19600 2014
Iso 19600 2014
 
Modulo I grupo I
Modulo I grupo IModulo I grupo I
Modulo I grupo I
 
Modulo I grupo I
Modulo I grupo IModulo I grupo I
Modulo I grupo I
 
Metodologia de BSC.pdf
Metodologia de BSC.pdfMetodologia de BSC.pdf
Metodologia de BSC.pdf
 
Herramientas de RSE
Herramientas de RSEHerramientas de RSE
Herramientas de RSE
 
Semana 2.pptx
Semana 2.pptxSemana 2.pptx
Semana 2.pptx
 
20080416 standard iso38500
20080416 standard iso3850020080416 standard iso38500
20080416 standard iso38500
 
Standard iso38500
Standard iso38500Standard iso38500
Standard iso38500
 
Sistema de Gestión Ambiental ISO 14001
Sistema de Gestión Ambiental ISO 14001Sistema de Gestión Ambiental ISO 14001
Sistema de Gestión Ambiental ISO 14001
 
3. implementación y auditoría de sistemas integrados de gestión mod ii iso 1...
3. implementación y auditoría de sistemas integrados de gestión mod ii iso 1...3. implementación y auditoría de sistemas integrados de gestión mod ii iso 1...
3. implementación y auditoría de sistemas integrados de gestión mod ii iso 1...
 
NORMAS ISO. TEMAS SOBRE EL MEDIO AMBIENTE
NORMAS ISO. TEMAS SOBRE EL MEDIO AMBIENTENORMAS ISO. TEMAS SOBRE EL MEDIO AMBIENTE
NORMAS ISO. TEMAS SOBRE EL MEDIO AMBIENTE
 
SISTEMAS INTEGRADOS DE GESTION
SISTEMAS INTEGRADOS DE GESTIONSISTEMAS INTEGRADOS DE GESTION
SISTEMAS INTEGRADOS DE GESTION
 
norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion
 
SISTEMA DE GESTION, AUDITORIA , MAPEO DE PROCESOS
SISTEMA DE GESTION, AUDITORIA , MAPEO DE PROCESOSSISTEMA DE GESTION, AUDITORIA , MAPEO DE PROCESOS
SISTEMA DE GESTION, AUDITORIA , MAPEO DE PROCESOS
 
Iso sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020Iso sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020
 
Sistemas De Gestion (Francis Leal)
Sistemas De Gestion (Francis Leal)Sistemas De Gestion (Francis Leal)
Sistemas De Gestion (Francis Leal)
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
unidad2_pdf1.pdf
unidad2_pdf1.pdfunidad2_pdf1.pdf
unidad2_pdf1.pdf
 
S10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdf
S10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdfS10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdf
S10_Modelos y Procesos Productivos_Moreno_Vergara_Jorge.pdf
 

Último

senati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxsenati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
nathalypaolaacostasu
 
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
MIGUELANGELLEGUIAGUZ
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
JaredQuezada3
 

Último (20)

senati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxsenati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
 
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
Tesis_liderazgo_desempeño_laboral_colaboradores_cooperativa_agraria_rutas_Inc...
 
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESCULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
 
5.Monopolio, comparación perfecta en conta
5.Monopolio, comparación perfecta en conta5.Monopolio, comparación perfecta en conta
5.Monopolio, comparación perfecta en conta
 
2 Tipo Sociedad comandita por acciones.pptx
2 Tipo Sociedad comandita por acciones.pptx2 Tipo Sociedad comandita por acciones.pptx
2 Tipo Sociedad comandita por acciones.pptx
 
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJODERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
 
Fabricación de Cremas en Industria Farmacéutica
Fabricación de Cremas en Industria FarmacéuticaFabricación de Cremas en Industria Farmacéutica
Fabricación de Cremas en Industria Farmacéutica
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industral
 
mapa-conceptual-evidencias-de-auditoria_compress.pdf
mapa-conceptual-evidencias-de-auditoria_compress.pdfmapa-conceptual-evidencias-de-auditoria_compress.pdf
mapa-conceptual-evidencias-de-auditoria_compress.pdf
 
implemenatcion de un data mart en logistica
implemenatcion de un data mart en logisticaimplemenatcion de un data mart en logistica
implemenatcion de un data mart en logistica
 
Manual para las 3 clases de tsunami de ventas.pdf
Manual para las 3 clases de tsunami de ventas.pdfManual para las 3 clases de tsunami de ventas.pdf
Manual para las 3 clases de tsunami de ventas.pdf
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdf
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
 
CONCEPTO Y LÍMITES DE LA TEORÍA CONTABLE.pdf
CONCEPTO Y LÍMITES DE LA TEORÍA CONTABLE.pdfCONCEPTO Y LÍMITES DE LA TEORÍA CONTABLE.pdf
CONCEPTO Y LÍMITES DE LA TEORÍA CONTABLE.pdf
 
Empresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercadoEmpresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercado
 
modulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmodulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdf
 
ADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptx
ADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptxADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptx
ADMINISTRACIÓN DE CUENTAS POR COBRAR CGSR.pptx
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGV
 

0. Curso Gestión de compliance atualizado.pdf

  • 1. MARCO F. ANDRADE M. Gestión de Compliance ISO 37301
  • 2. OBJETIVO DEL CURSO Compartir con el participante los conocimientos que le faciliten desarrollar competencias necesarias para evaluar e implementar un programa de compliance, que contribuya en las organizaciones a evitar o mitigar costos, riesgos y daños por incumplimiento de leyes, contratos y otras obligaciones, asegurando su sostenibilidad en el largo plazo.
  • 3. CONTENIDO 1. Introducción al compliance y cómo empezar su implementación: • Antecedentes del marco regulatorio y normas internacionales de compliance. • Conceptos y principios de la gestión de compliance) 2. Plan de implementación del compliance: • Contexto interno y externo de la organización. • Alcance del Programa de Compliance / Obligaciones. • Gestión de riesgos y oportunidades de compliance. 3. Implementación de compliance en la organización: • Recursos y competencias. • Toma de conciencia, formación y comunicaciones • Gestión de la información documentada. • Controles y procedimientos 4. Seguimiento, mejora continua del compliance • Auditoría interna. • Revisión por la dirección. • Tratamiento de las no conformidades y acciones correctivas. • Mejora continua. Preparación para la certificación. Casos prácticos.
  • 4. ¿Qué son las normas ISO? Conjunto de normas establecidas por el Organismo Internacional de Estandarización (ISO), para la gestión de una organización en distintos ámbitos. Los procesos globalizados de la economía, el mercado así como el poder de usuarios y consumidores, ha propiciado que estas normas de adopción voluntaria hayan ganado un gran reconocimiento y aceptación internacional. Se componen de estándares y guías sobre sistemas y herramientas específicas de gestión aplicables en cualquier tipo de organización, la obtención de una certificación ISO en alguna de sus normas, garantiza que la organización certificada sigue los estándares de calidad, seguridad, eficiencia, etc. en sus servicios o productos.
  • 5. Introducción Transparencia, consenso, imparcialidad, apertura y diversidad, son temas que preocupan a la sociedad y a las organizaciones para crear normas relacionadas con ética, responsabilidad social, gobernanza y compliance. El compliance como norma de la Organización Internacional de Normalización (ISO), surge en 2014, con la ISO 19600 Sistema de gestión de compliance – Directrices: recomendaciones en materia de compliance. El año 2021 se publicó la ISO 37301 Sistema de gestión del compliance. Requisitos con orientación para su uso (certificable). Visión madura y evolucionada del compliance: cumplimiento de leyes y compromisos asumidos de manera voluntaria (incluidos lo de carácter ético).
  • 6. Evolución del Compliance ISO 19600:2014 SGCO (Directrices) ISO / TC 309 (GT4) Gobernanza de organizaciones Requisitos de Compliance (Legales) Compromisos de Compliance (Voluntarios) LEGISLACIÓN (Riesgo Legal / Penal) BUENAS PRÁCTICAS (Gestión de riesgos) MODELOS DE Prevención (Leyes) DELITOS ISO 37001:2016 SGCO (Requisitos) ISO 37301:2021 SGCO (Requisitos) ISO 37002:2021 SGD (Directrices) Obligaciones de Compliance
  • 7. Proceso de desarrollo de la ISO 37301 Propuesta de Australia con base a AS 3806-2006 Programas de Compliance. ISO aceptó la propuesta (Comité del Proyecto, ISO/PC 271) Publicación de ISO 19600 ISO/TC 309 (WG4) revisó la ISO 19600 (nuevo número ISO 37301) Aprobado el borrador de ISO 37301 Aprobación final y publicación 2012 2014 2018 2020 2021
  • 8. NTP-ISO 37301 Introducción Un sistema de gestión del compliance eficaz y que abarque a toda la organización permite que ésta demuestre su compromiso de cumplir con las leyes, requisitos regulatorios, códigos de la industria y normas de la organización, así como con las de buena gobernanza, las mejores prácticas generalmente aceptadas, la ética y las expectativas de la comunidad.
  • 9. Beneficios de la ISO 37301 ✓ Mejores oportunidades de negocios; ✓ Protección y mejora de la reputación y la credibilidad de la organización; ✓ Demuestra el compromiso en la gestión de los riesgos de compliance; ✓ Aumenta la confianza de terceros en la sostenibilidad de la organización; ✓ Minimiza riesgos de costos financieros y daños a la reputación.
  • 11. Reglas básicas del nuevo enfoque Requisitos para la implementación Capítulo 1 Objeto y Campo de Aplicación Capítulo 2 Referencias Normativas Capítulo 3 Términos y definiciones Capítulo 4 Contexto de la organización Capítulo 5 Liderazgo Capítulo 6 Planificación Capítulo 7 Apoyo Capítulo 8 Operación Capítulo 9 Evaluación del Desempeño Capítulo 10 Mejora Estructura de la ISO 37301 Hacer Actuar Planificar Verificar
  • 12. Es el cumplimiento de todas las obligaciones de compliance (requisitos que una organización tiene obligatoriamente que cumplir, así como aquellos que elige cumplir voluntariamente). ISO 37301 Definición de COMPLIANCE
  • 13. MARCO NORMATIVO INTERNACIONAL País / Organismo Norma Año de Publicación USA Foreign Corrupt Practices Act (FCPA) 1977 USA SARBANES OXLEY ACT 2002 ONU Convención de las Naciones Unidas contra la Corrupción 2005 Suiza ACUERDOS DE BASILEA – Basilea III 2017 Reino Unido The Bribery Act 2010 OCDE Good Practice Guidance on Internal Control, Ethics and Compliance 2010 Australia AUSTRALIAN STANDARD AS 3806 1998 USA FEDERAL SENTENCING GUIDELINES 2004 ISO Sistema de Gestión del Compliance ISO 37301 (antes 19600) 2021
  • 14. CONCEPTOS CLAVE PARTE INTERESADA Persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad. ALTA DIRECCIÓN Persona o grupo de personas que dirigen y controlan una organización al más alto nivel. Nota 1: La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización. Nota 2: Si el alcance del sistema de gestión comprende solo una parte de una organización, entonces alta dirección se refiere a quienes dirigen y controlan esa parte de la organización. Nota 3: Para los fines de esta norma, el término “alta dirección” se refiere al más alto nivel de la dirección ejecutiva.
  • 15. CONCEPTOS CLAVE OBJETIVO Resultado a lograr. Nota 1: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas. Nota 2: Los elementos del sistema de gestión incluyen la estructura de la organización, los roles y las responsabilidades, la planificación y la operación. POLÍTICA Intenciones y dirección de una organización como las expresa formalmente su alta dirección. Nota 1: La política también puede ser expresada formalmente por el órgano de gobierno de una organización.
  • 16. CONCEPTOS CLAVE SISTEMA DE GESTIÓN Conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos para lograrlos. Nota 1: Un objetivo puede ser estratégico, táctico u operativo. Nota 2: Los objetivos pueden referirse a diferentes disciplinas (como las finanzas, la seguridad y salud y el medio ambiente). Pueden ser, por ejemplo, objetivos que abarquen a toda la organización o específicos para un proyecto, producto, servicio o proceso. Nota 3: Un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado previsto, un propósito, un criterio operativo, un objetivo de compliance, o mediante el uso de términos con un significado similar (por ejemplo, finalidad o meta). Nota 4: En el contexto de sistemas de gestión del compliance, la organización establece los objetivos de compliance, en concordancia con la política de compliance, para lograr resultados específicos. .
  • 17. CONCEPTOS CLAVE RIESGO Efecto de la incertidumbre en los objetivos. Nota 1: Un efecto es una desviación de lo esperado, ya sea positiva o negativa. Nota 2: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad. Nota 3: Con frecuencia el riesgo se caracteriza por referencia a “eventos” potenciales y “consecuencias”, o a una combinación de estos. Nota 4: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos los cambios de las circunstancias) y la “probabilidad” (como se define en la Guía ISO 73) asociada de que ocurra.
  • 18. CONCEPTOS CLAVE RIESGO DE COMPLIANCE Probabilidad de ocurrencia y las consecuencias del no cumplimiento de compliance respecto a las obligaciones de compliance de una organización. OBLIGACIONES DE COMPLIANCE Requisitos que una organización tiene obligatoriamente que cumplir, así como aquellos que una organización elige voluntariamente cumplir. CULTURA DE COMPLIANCE Valores, ética, creencias y conductas que existen en una organización y que interactúan con las estructuras y sistemas de control de la organización para producir normas de comportamiento que conducen al compliance.
  • 19. CONCEPTOS CLAVE PROCESO Conjunto de actividades interrelacionadas o que interactúan, que emplean o transforman elementos de entrada para obtener resultados. Nota 1: Que el resultado de un proceso se denomine salida, producto o servicio depende del contexto de referencia. DESEMPEÑO Resultado medible. Nota 1: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos. Nota 2: También se puede relacionar con actividades de gestión, procesos, productos, servicios, sistemas u organizaciones. .
  • 20. CONCEPTOS CLAVE REQUISITO Necesidad o expectativa establecida, generalmente implícita u obligatoria. Nota 1: “Generalmente implícita” significa que es una costumbre o práctica común para la organización y para las partes interesadas, que la necesidad o expectativa que se considera está implícita. Nota 2: Un requisito especificado es el que está declarado, por ejemplo, en información. documentada NO CONFORMIDAD Incumplimiento de un requisito. Nota 1: Una no conformidad no es necesariamente un no cumplimiento de compliance. .
  • 21. CONCEPTOS CLAVE ACCIÓN CORRECTIVA Acción para eliminar las causas de una no conformidad (3.16) y evitar que vuelva a ocurrir. AUDITORÍA Proceso sistemático e independiente para obtener las evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría. Nota 1: Una auditoría puede ser interna (de primera parte), o externa (de segunda o tercera parte), y puede ser combinada (combinando dos o más disciplinas). Nota 2: Una auditoría interna la que realiza la propia organización o una parte externa en su nombre. Nota 3: “Evidencia de auditoría” y “criterios de auditoría” se definen en la Norma ISO 19011. Nota 4: La independencia se puede demostrar por la ausencia de dependencia de la actividad objeto de la auditoría o por la ausencia de parcialidad y de conflicto de intereses
  • 22. CONCEPTOS CLAVE ÓRGANO DE GOBIERNO Persona o grupo de personas que tienen la última responsabilidad y autoridad en las actividades, gobierno y políticas de una organización ante quienes la alta dirección (3.3) informa y rinde cuentas . Nota 1: No todas las organizaciones, particularmente las organizaciones pequeñas, tendrán un órgano de gobierno aparte de la alta dirección. Nota 2: Un órgano de gobierno puede incluir, pero no está limitado a un consejo directivo, comités de control, consejo de control, directores y supervisores FUNCIÓN DE COMPLIANCE persona o grupo de personas con responsabilidad y autoridad para la operación del sistema de gestión del compliance. Nota 1: Preferiblemente se asignará la supervisión del sistema de gestión del compliance a un solo individuo.
  • 23. Fundamentos de la gestión del compliance Normas y procedimien- tos: presentar todos los requerimientos y expectativas a los empleados, como normas internas y disposiciones legales. Vigilancia: el rol de una persona responsable para supervisar la aplicación de las normas es esencial para mantener el compliance. Formación y conciencia: formación continua y sesiones de sensibiliza- ción ayudan a los empleados a entender los requisitos de compliance en vez de memorizarlos Auditoría interna: a intervalos regulares es elemento clave del mantenimiento de compliance. Reportes: cualquier acto de no cumplimiento, delitos o actos ilegales, deben ser reportados inmediatamente a la persona responsable. Persuasión y disciplina: definir acciones disciplinarias para cualquier incumplimiento intencional de las obligaciones de compliance. Respuesta y prevención: abordar las infracciones de las obligaciones de compliance respondiendo inmediata- mente.
  • 24. Principios de la gestión del compliance Integridad: Valores y la apropiada gestión de compliance para salvaguardar la probidad de la organización. Principio consagrado en las políticas internas, procedimientos, prácticas diarias y transacciones. Buen gobierno: toma de decisiones basada en normas, comportamientos, cultura y procesos creados que se mantienen para entregar valor consistente a las partes interesadas. Proporcionalidad: naturaleza y extensión de los riesgos de compliance tomados en cuenta al establecer un SGCO. Disciplinando violaciones caprichosas o negligentes de compliance, con acciones correctivas proporcionales a los no cumplimientos. Transparencia: la organización es transparente con respecto a la manera en la que las decisiones son tomadas, implementadas y revisadas. Responsabilidad: todos en la organización son responsables en lo relativo a su rol y responsabilidades. El último responsable en la efectividad del SGCO, son el órgano de gobierno y la alta dirección. Sostenibilidad: compliance es parte de la cultura que es reforzada continuamente proporcionando los recursos necesarios para el mantenimiento y mejora continua del SGCO que promueve una cultura de compliance a todo nivel.
  • 26. Aspectos que se deben considerar para la implementación 1) Cumplimiento de las fechas establecidas en el cronograma de implementación 2) Nivel de madurez de los procesos 3) Alcance de la implementación 4) Aplicación de leyes, regulaciones y controles 5) Apoyo de la alta dirección.
  • 27. Enfoques para una propuesta de implementación 1) En en el negocio: contexto de las actividades comerciales de la organización 2) En los sistemas: toda la implementación sin aislar ciertos procesos 3) Sistémico: aplicación de las mejores prácticas de gestión de proyectos 4) Integrado: con otros sistemas de gestión o requerimientos establecidos por la organización 5) Iterativo: implementación rápida del SGCO adhiriéndose a los requisitos mínimos de la norma y luego proceder a la mejora continua.
  • 28. Aplicación del enfoque de la propuesta de implementación Evitar la integración de nuevas tecnologías Integrar el SGCO en procesos existentes Aplicar el principio de mejora continua Involucrar a las partes interesadas en la organización Obtener el apoyo de la alta dirección
  • 29. Planteamiento del proyecto de implementación 1) Una herramienta para apoyar la toma de decisión 2) Un documento para promover la implementación del proyecto 3) Una manera de definir claramente los objetivos La implementación del SGCO incurre en costos que deben ser justificados ante la alta dirección y la JD. El planteamiento del proyecto de implementación del SGCO con base a la ISO 37301, puede ser una herramienta útil para que la alta dirección y la JD tomen la decisión. Un caso de negocio es:
  • 30. Creación de un caso de negocios Preguntas a las que se debe responder: ¿Cuál es el propósito del proyecto? ¿Cuáles son las soluciones que serán estudiadas? ¿Porqué es seleccionada una solución en particular? ¿Cuánto cuesta la solución? ¿Quién es responsable de este proyecto? ¿Cómo afecta este proyecto a la organización?
  • 31. Componentes del caso de negocio Los 5 componentes de un caso de negocio son: Los objetivos del proyecto y su alienación con la estrategia de la organización Las opciones consideradas La solución seleccionada Los recursos necesarios El proyecto de implementación
  • 32. Lo que se incluye en el caso de negocios a) Descripción del negocio, necesidades y objetivos que el SGCO pretende cubrir b) Alcance propuesta para el SGCO c) Restricciones y supuestos que afectarían el SGCO o su implementación d) Beneficios cualitativos y cuantitativos del SGCO, incluyendo: • Reducción de riesgos de no cumplimiento • Cambios en los procesos y carga de trabajo • Capacidad para visibilizar el apoyo a la estrategia del negocio con oportunidades de mejorar la eficiencia en todas las áreas, principalmente en mejorar los costos, la calidad y la adaptabilidad • Cumplimiento legal y regulatorio • Ahorros de costo potenciales • Beneficios directos o indirectos, como satisfacción de los clientes y el personal, y la reducción de riesgos para el negocio • Retorno de la inversión.
  • 33. Lo que se incluye en el caso de negocio(continuación) e) Costos, incluyendo: • Estimación de recursos (requerimientos de personal, financieros y tecnológicos) • Costo del uso de recursos externos f) Evaluación de riesgos y recomendaciones para la gestión de riesgos considerando riesgos de cambio organizacional, financieros y técnicos g) Descripción de cómo deberán ser evaluados los costos y beneficios de la implementación del SGGO h) Recomendaciones de la evaluación de conformidad formal e independiente i) Cronograma j) Partes interesadas que estarán involucradas o afectadas por la implementación del SGCO k) Términos de referencia propuestos l) Apoyo, compromiso y gestión del proyecto.
  • 34. GESTIÓN DE PROYECTOS ISO 9000 (cláusula 3.4.2) Proyecto •Proceso único que consiste en un conjunto de actividades coordinadas y controlados con fechas de inicio y de finalización, con el fin de lograr un objetivo de acuerdo con requerimientos específicos, gestionando el tiempo, costos y recursos. ISO 9000 (cláusula 3.3.11) Actividad •Objeto pequeño de trabajo identificado en un proyecto ISO 9000 (cláusula 3.3.12) Gestión de proyecto •Planificación, organización, monitoreo, control y reporte de un proyecto y motivación de todos los involucrados en el logro de los objetivos del proyecto. DEFINICIONES
  • 35. GESTIÓN DEL PROYECTO POR EL PERSONAL vs. CONSULTORÍA EXTERNA - Conocimiento de la cultura, valores y creencias en la organización - Conocimiento de los procesos existentes - Habilidad para utilizar el conocimiento de la organización - Sesgos - Potencial desconocimiento de prácticas y técnicas utilizadas por otras organizaciones - Puede requerir del ensayo y error - Puede ser más costoso y consumir más tiempo del personal de la organización - Visión imparcial de los procesos existentes en la organización - Experticia con soporte en el conocimiento, las buenas prácticas y tendencias en la industria - Puede proveer el servicio a un costo bajo para la organización. - Dificultad para entender la cultura y la dinámica de las relaciones entre los diferentes niveles de la organización - Puede ser visto como una trampa por los empleados - Puede estar limitado por circunstancias no previstas o limitaciones contractuales. VENTAJAS DESVENTAJAS EMPLEADOS CONSULTORÍA EXTERNA
  • 36. MARCO METODOLÓGICO PARA LA GESTIÓN DE LA IMPLEMENTACIÓN APOYO DE LA ALTA DIRECCIÓN - Liderazgo y compromiso - Política de compliance - Roles, responsabilidades y autoridad PLANIFICACIÓN DEL SGCO - Contexto de la organización - Identificación de las necesidades de las partes interesadas - Alcance del SGCO - Riesgos, oportunidades y objetivos del SGCO APOYO - Recursos, competencias y proceso de empleo - Toma de conciencia y comunicación - Gestión de la información documentada OPERACIÓN - Controles y procedimientos EVALUACIÓN DEL DESEMPEÑO - Seguimiento, medición, análisis y evaluación - Auditoría interna - Revisiones por la dirección MEJORA - No conformidades y acciones correctivas - Mejora continua. PLANIFICAR VERIFICAR HACER ACTUAR
  • 37. ENFOQUE Y METODOLOGÍA DE IMPLEMENTACIÓN • El enfoque basado en riesgos tiene en cuenta los riesgos en vez de intentar preverlos como un elemento independiente al Sistema de Gestión. • El enfoque basado en procesos enfatiza que los resultados que se desean obtener se pueden alcanzar de forma más eficiente, ejerciendo control sobre el conjunto de actividades. METODOLOGÍA: • Reuniones del equipo implementador con la persona encargada del proyecto para revisar los requisitos a ser implementados de acuerdo con la norma. • Revisión de documentos y registros relacionados con el SGCO • Entrevistas con el personal clave y el que se requiera para identificar riesgos, oportunidades y partes interesadas. • Elaboración de los Informes de avance en forma periódica. ENFOQUE:
  • 38. EQUIPO IMPLEMENTADOR • Persona encargada del proyecto de implementación, conocedora de algún Sistema de Gestión y de los procesos de la organización. • Gerente del proyecto (Implementador líder) y uno o más asistentes, según el tamaño de la organización. COMPOSICIÓN DEL EQUIPO:
  • 39. FUNCIÓN DE COMPLIANCE • Facilitar la identificación de las obligaciones de compliance; • documentar la evaluación de los riesgos de compliance; • alinear el sistema de gestión del compliance con los objetivos de compliance; • medir y hacer seguimiento del desempeño del compliance; • analizar y evaluar el desempeño del sistema de gestión del compliance; para identificar cualquier necesidad de acción correctiva; • establecer un sistema de información y documentación del compliance; • asegurarse de que el sistema de gestión del compliance se revise a intervalos planificados; • establecer un sistema para plantear inquietudes y asegurar que se aborden las inquietudes. Responsabilidades:
  • 40. FUNCIÓN DE COMPLIANCE • Las responsabilidades para lograr las obligaciones de compliance identificadas se asignen de forma adecuada en toda la organización; • las obligaciones de compliance estén integradas en las políticas, los procesos y los procedimientos; • todo el personal pertinente esté formado como corresponda; • estén establecidos indicadores de desempeño. Debe proporcionar: • El acceso al personal a los recursos relacionados con las políticas, los procedimientos y los procesos de compliance; • el asesoramiento a la organización en materias relacionadas con compliance. Debe ejercer vigilancia sobre:
  • 41. FUNCIÓN DE COMPLIANCE • Los tomadores de decisiones de alto nivel y a la oportunidad de contribuir en etapas tempranas de los procesos de toma de decisiones, • todos los niveles de la organización; • todo el personal, información documentada y datos necesarios; • el asesoramiento experto en legislación, normativa, códigos y normas organizacionales pertinentes. Asegurarse de que se le ha dado acceso a:
  • 42. CRONOGRAMA • Elaborar el cronograma de la implementación utilizando herramientas de control de proyectos o el diagrama Gantt • Establecer las fechas estimadas de cada actividad así como los entregables • Comenzar con un kick-off para dar a conocer el proyecto a la gerencia y personal clave de la organización. La siguiente actividad debe ser un curso de interpretación de la norma para este personal. Enero Febrero Marzo Abril Mayo Junio Diagnósitico de brechas X Capacitación en el Sistema de Gestión (SG) X Análisis de contexto, partes interesadas y riesgos X Diseño e implementación del SG X X X Verificación: revisión por la dirección y auditoría interna X MESES ACTIVIDADES
  • 43. Reunión de inicio del proyecto El propósito de la reunión de inicio del proyecto es: Informar sobre el proyecto de implementación del SGCO a las personas clave de la organización, haciendo una breve presentación del objetivo, la importancia y de cómo se desarrollará el proceso de implementación Dar a conocer el cronograma del proyecto de implementación, destacando la importancia de cumplir con las fechas establecidas Responder a las interrogantes que puedan surgir con respecto al proceso del proyecto de implementación. Celebrar la reunión de inicio del proyecto con la alta dirección, personas clave responsables de las funciones o procesos que se estarán involucradas en el proceso de implementación. La información del grado de detalle de las actividades que se llevarán a cabo, depende de la magnitud del proyecto y las áreas involucradas. Debe conservarse el registro de los asistentes a la reunión de inicio del proyecto.
  • 44. RECOPILACIÓN DE INFORMACIÓN • Observar las operaciones, sistemas y personal involucrado con el finde entenderlo • Enviar cuestionarios a los grupos de personas que representan las partes interesadas • Conducir entrevistas a personas clave de diferentes niveles jerárquicos dentro de la organización • Leer y analizar la información documentada relevante (políticas internas, procedimientos, últimos informes de auditoría, contratos) Observación Cuestionarios Entrevistas Revisión de información documentada
  • 45. IDENTIFICACIÓN DE BRECHAS DIAGNÓSITICO DE BRECHAS: • El punto de partida o línea base de la implementación se determina con el diagnóstico para la identificación de brechas, se revisan con un “chek list” los requisitos de la norma y el grado en que la organización cumple con ellos al comenzar la implementación. • Elaborar el informe de diagnóstico.
  • 46. EJEMPLO PARA LA IDENTIFICACIÓN DE BRECHAS Diagnóstico del SGCO-ISO 37301 Factores Valoración Compromiso de la Alta Dirección Política 0 Roles y responsabilidades 3 Función de compliance 2 Riesgos de compliance Evaluación de los riesgos de compliance 2 Competencia y Controles Competencia 3 Controles y procedimientos 3 Planteamiento de inquietudes 3 Cultura y Comunicación Cultura de compliance 1 Formación y sensibilización 1 Comunicación 0 Seguimiento y Medición Objetivos de Compliance / Indicadores 1 Auditoría Interna 0
  • 48. ÓRGANO DE GOBIERNO Y ALTA DIRECCIÓN La implementación del SGCO requiere un compromiso activo del órgano de gobierno y de la alta dirección, que permee a toda la organización Es vital para el SGCO que el órgano de gobierno y la alta dirección demuestren clara y de manera visible su compromiso para logar el objetivo de implementar el SGCO Un hecho de no cumplimiento de compliance que se produzca en la organización, puede resultar en un impacto negativo como daño a la reputación, pérdidas financieras significativas y sanciones penales para los infractores.
  • 49. MEJORES PRÁCTICAS DEL COMPROMISO POR PARTE DE LA ALTA DIRECCIÓN Compromiso declarado de lo alto: El Directorio garantiza que la gerencia, los empleados y las partes interesadas, conocen su compromiso con la política de compliance y el SGCO. Esto incluye realizar compromisos de alto perfil, tanto internos como externos, en valores éticos y en estar comprometidos con este SG.. Cumplimiento de las leyes: la organización se compromete a cumplir con las leyes y regulaciones pertinentes, y tiene un procedimiento para ello. Puede parecer superfluo afirmar que una organización debería cumplir con las leyes, pero hacerlo como un compromiso explícito, enfoca la atención en el cumplimiento que es complejo y requiere de un proceso sistemático para lograrlo. Responsabilidad y transparencia: el Directorio es responsable ante los accionistas y otras partes interesadas sobre qué tan bien la compañía está cumpliendo con sus compromisos de hacer negocios con ética. Conocimiento y vigilancia: la alta gerencia garantiza que está informada y vigilante sobre los riesgos de compliance, problemas emergentes, avances en las mejores prácticas y cambios a la legislación pertinente, así como del diseño e implementación del SGCO.
  • 50. Cualificado: el Directorio está adecuadamente informado para cumplir con sus responsabilidades relacionadas con la política de compliance. Asignación clara de responsabilidades: la junta garantiza que la autoridad y las responsabilidades de la implementación del SGCO se asigna claramente a toda la organización. Supervisión independiente: evaluación independiente de la implementación del SGCO proporcionado por directores no ejecutivos a través de un subcomité de la junta directiva que supervisa el compromiso con la ética y la integridad. Enfoque de riesgo: la junta decide el enfoque de riesgo para el compliance. MEJORES PRÁCTICAS DEL COMPROMISO POR PARTE DE LA ALTA DIRECCIÓN
  • 51. Organizacional: debe asignarse responsabilidades claras para la implementación del SGCO, estableciendo procedimientos y estructuras organizativas de apoyo. Revisión: Contrarrestar el no cumplimiento de compliance debe ser un tema permanente en la agenda del Directorio y la gerencia, debiendo recibir revisiones periódicas sobre la implementación del SGCO y los cambios constantes del entorno externo, nuevas leyes, prácticas emergentes, cambios sociales y nuevas tecnologías. Conocimiento de los riesgos legales para directores y funcionarios: los directores deben ser conscientes de los crecientes riesgos penales y civiles para directores y funcionarios relacionados con los no cumplimientos de compliance. MEJORES PRÁCTICAS DEL COMPROMISO POR PARTE DE LA ALTA DIRECCIÓN (continuación)
  • 52. NOMBRAMIENTO Y SOPORTE A LA FUNCIÓN DE COMPLIANCE Nombrar y asignar a la función de compliance, responsabilidad y autoridad para supervisar el diseño e implementación del SGCO Asignar a esta función a la persona o personas que tengan la competencia apropiada y dotarle de los recursos suficientes La función de compliance debe tener acceso directo y rápido al órgano de gobierno y a la alta dirección.
  • 53. Órgano de gobierno y alta dirección El órgano de gobierno y la alta dirección deben demostrar liderazgo y compromiso con respecto al SGCO: — asegurando que se establezcan la política de compliance y los objetivos que estos sean compatibles con la dirección estratégica de la organización; — asegurando la integración de los requisitos del SGCO en los procesos de negocio de la organización; — asegurando que los recursos que se necesitan para el SGCO están disponibles; — comunicando la importancia de una gestión del compliance eficaz y conforme con los requisitos del SGCO; — asegurando que el SGCO logre sus resultados previstos; — dirigiendo y apoyando a las personas, para contribuir a la eficacia del SGCO; — promoviendo la mejora continua; — apoyando a otros roles pertinentes a demostrar su liderazgo en sus correspondientes áreas de responsabilidad.
  • 54. Órgano de gobierno y alta dirección El órgano de gobierno y la alta dirección deben: — establecer y defender los valores de la organización; — asegurar que se desarrollan e implementan políticas, procesos y procedimientos para alcanzar los objetivos de compliance; — asegurar que se les informa de manera oportuna de las cuestiones relacionadas con compliance, incluidos los casos de no cumplimiento de compliance, y asegurar que se toman las acciones adecuadas; — asegurar que se mantiene el compromiso de compliance y que se gestionan adecuadamente los no cumplimientos de compliance y los comportamientos contrarios a compliance; — asegurar que se incluyen las responsabilidades de compliance en las descripciones de los puestos de trabajo según corresponda; — designar o nominar una función de compliance; — asegurar que se establece un sistema para el levantamiento y el tratamiento de inquietudes.
  • 55. Cultura de compliance Debe desarrollar, mantener y promover una cultura de compliance a todos los niveles de la organización. El órgano de gobierno, la alta dirección y la dirección deben demostrar un compromiso activo, visible, consistente y sostenido con un estándar común de comportamiento y conducta que se requiere en toda la organización. La alta dirección debe fomentar comportamientos que creen y apoyen el compliance. Debe evitar y no tolerar comportamientos que comprometan el compliance.
  • 56. La cultura de integridad “Las organizaciones están cada vez más convencidas de que si aplican valores vinculantes y una gestión adecuada del compliance, pueden salvaguardar su integridad y evitar o minimizar los no cumplimientos de compliance con las obligaciones de compliance de la organización. Integridad y un compliance eficaz son, por tanto, elementos clave para llevar una buena y diligente gestión. El compliance también contribuye al comportamiento socialmente responsable de las organizaciones”. (Introducción ISO 37301)
  • 57.
  • 58. Gobernanza del compliance El órgano de gobierno y la alta dirección deben asegurar que se implementan los siguientes principios: — el acceso directo de la función de compliance al órgano de gobierno; — la independencia de la función de compliance; — la autoridad y la competencia adecuadas de la función de compliance.
  • 60. Elaboración de la Política de Compliance Establecer el criterio que debe cumplir la política de compliance Seguir el proceso para un borrador de la política de compliance Obtener la aprobación de la alta dirección y del órgano de gobierno del borrador de la política de compliance Publicar y desplegar la política de compliance Comunicar la política de compliance Control, evaluación y revisión de la política de compliance.
  • 61. El órgano de gobierno y la alta dirección deben establecer una política de compliance que: a) sea adecuada al propósito de la organización; b) proporcione un marco de referencia para el establecimiento de los objetivos de compliance; c) incluya el compromiso de cumplir los requisitos aplicables; d) incluya el compromiso de mejora continua del SGCO. Política de compliance
  • 62. Política de compliance La política de compliance debe: — estar alineada con los valores, objetivos y estrategia de la organización; — requerir el cumplimento de las obligaciones de compliance de la organización; — apoyar los principios de la gobernanza del compliance; — hacer referencia a la función de compliance y describirla; — resumir las consecuencias de no cumplir con las obligaciones de compliance, las políticas, los procesos y los procedimientos de la organización; — fomentar el planteamiento de inquietudes y prohibir cualquier tipo de represalia; — estar escrita en un lenguaje sencillo de forma que todo el personal pueda entender fácilmente los principios y su intención; — implementarse y hacerse cumplir de forma adecuada. — estar disponible como información documentada; — comunicarse dentro de la organización; — estar disponible para las partes interesadas, según corresponda.
  • 64. CONTEXTO INTERNO Y EXTERNO • Tomando como base la documentación de la organización y entrevistas, se elabora un cuadro con el contexto interno y externo en la implementación, el que debe ser revisado periódicamente. • Los documentos de referencia son: Informe o memoria anual, estatutos, informes de auditoría, página web. Considerar una gran variedad de cuestiones, que incluyen, pero no se limitan a: • el modelo de negocio, que incluye la estrategia, la naturaleza, el tamaño y el nivel de complejidad y sostenibilidad de las actividades y operaciones de la organización; • la naturaleza y el alcance de las relaciones comerciales con terceras partes; • el contexto legal y regulatorio; • la situación económica; • los contextos social, cultural y ambiental; • las estructuras, políticas, procesos, procedimientos y recursos internos, incluyendo la tecnología; • su cultura de compliance.
  • 65. PARTES INTRESADAS AL SGCO • Las partes interesadas pertinentes al SGCO son identificadas por los responsables de cada área en la organización. • Establecer los requisitos pertinentes de las partes interesadas relevantes que se hayan identificado. • Determinar cuáles de los requisitos se abordarán en el SGCO y los mecanismos de control para dar cumplimiento.
  • 66. Matriz de Poder/Interés de las Partes Interesadas PODER INTERÉS Alto Alto Bajo Bajo MONITOREAR MANTENERLO INFORMADO MANTENER SATISFECHO GESTIONAR DE CERCA
  • 67. Identificación de los procesos y actividades clave Activos clave de la organización Procesos clave para lograr la misión de la organización Actividades para ofrecer sus productos o servicios
  • 68. ALCANCE DEL SGCO • Determinar los límites y aplicabilidad del SGCO, considerando: ✓ Contexto 4.1 ✓ Necesidades y expectativas de las partes interesadas 4.2 ✓ Obligaciones de compliance 4.5 y Evaluación de riesgos 4.6. IMPORTANCIA: Una clara definición del alcance es un factor importante para el éxito de la implementación del SGCO, facilitando: • Identificar los principales riesgos de compliance • Determinar los límites geográficos, organizacionales o ambos, a los que el SGCO aplicará • Alentar el apoyo de las partes interesadas para la implementación del proyecto • Justificar el valor agregado para las partes interesadas. ALCANCE:
  • 69. Definición de límites Concepto ¿Qué se incluye? ¿Qué se excluye? Propiedades / Ubicación Edificaciones Operaciones / actividades Límites físicos Concepto ¿Qué se incluye? ¿Qué se excluye? Procesos Estructura organizacional Personal / funciones Límites organizacionales
  • 70. Los límites de la organización Debe considerarse lo siguiente: • Unidades de la organización: Departamentos, proyectos, subsidiarias, etc. • Estructura y responsabilidades de los gerentes • Procesos de negocio: Ventas, Administración y Finanzas, Logística, etc. Un método eficiente es evaluar la responsabilidad de quienes toman decisiones y sus áreas de influencia dentro de la organización. Los resultados de este análisis son: La descripción de los límites de la organización con la documentación que justifique las excepciones Descripción de la estructura organizacional incluida en el SGCO Identificación de los procesos de negocio con la información de sus activos (con sus respectivos dueños) Identificación de la dirección en la toma de decisiones y procesos
  • 71. Determinación de la aplicabilidad de los requisites de la ISO 37301 La organización requiere definir si todos los requisitos de la ISO 37301 son aplicables en el alcance determinado para el SGCO Se puede revisar la aplicabilidad de los requisitos con base al tamaño y complejidad de las operaciones de la organización, el modelo de gestión que ha adoptado, el rango de sus actividades y la naturaleza de los riesgos y oportunidades identificados.
  • 72. Determinación del alcance La organización debe determinar el alcance para el SGCO de manera y en términos adecuados a su tamaño, naturaleza y complejidad. El alcance debería ser: •Tan simple como sea posible •Comprensible para las partes externas y aquellos dentro de los que tienen conocimiento limitado a cerca de la organización •Suficientemente preciso para mostrar lo que cubre el SGCO, si la organización desea ir a un proceso de certificación formal. NOTA: El proceso para determinar el alcance del SGCO se completa a nivel de la alta dirección; pueden ser asistidos por expertos en materia de alcance, tales como consultores o analistas de negocio.
  • 73. Cambios en el alcance El alcance puede cambiar a través del tiempo mientras el SGCO continúa permitiendo que la organización alcance sus objetivos de compliance. Los cambios pueden ser hechos como resultado de: •Extender el alcance a otras unidades de la organización •Cambios en el contexto externo (legal, competitivo, tecnológico) •La consideración de nuevos escenarios de riesgos de compliance. Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado.
  • 74. Los requisitos con los que una organización debe cumplir obligatoriamente pueden incluir: Obligaciones de compliance — sentencias de cortes o tribunales administrativos; — tratados, convenciones y protocolos. — acuerdos con grupos comunitarios u organizaciones no gubernamentales; — acuerdos con autoridades públicas y clientes; — requisitos organizacionales, como políticas y procedimientos; — principios o códigos de práctica; — etiquetado o compromisos medioambientales. Los requisitos que una organización elige cumplir voluntariamente pueden ser: — obligaciones derivadas de acuerdos contractuales; — normas organizacionales e industriales pertinentes.
  • 75. Identificar sistemáticamente las obligaciones de compliance como resultado de las actividades, productos y servicios. Evaluar el impacto de éstas en las operaciones. Obligaciones de compliance Debe disponerse de procesos para: — identificar obligaciones de compliance nuevas y modificadas para asegurar un cumplimiento continuo; — evaluar el impacto de los cambios identificados e implementar cualquier cambio necesario en la gestión de las obligaciones de compliance. Conservar la información documentada sobre sus obligaciones de compliance.
  • 76. — leyes y reglamentos; — permisos, licencias y otras autorizaciones; — órdenes, reglas u orientaciones emitidas por agencias reguladoras Obligaciones de compliance El marco de un SGCO es estructural: la infraestructura necesaria sobre la que se construye este sistema. Es necesario hacerlo operativo implementando políticas, procesos y procedimientos. Mantener y mejorar continuamente el SGCO que tiene muchos elementos. Algunos elementos del SGCO se diseñan para apoyar comportamientos deseados, otros para evitar comportamientos no deseados Otros elementos sirven para realizar un seguimiento del desempeño del compliance o emitir alertas ante no cumplimientos de compliance.
  • 77. Los procesos para obtener información sobre cambios en leyes y en otras obligaciones de compliance pueden incluir: Obligaciones de compliance — estar en las listas de distribución de los reguladores pertinentes; — ser miembros de grupos profesionales; — suscribirse a servicios de información pertinentes; — asistir a foros de la industria y seminarios; — revisar las páginas web de los reguladores; — mantener reuniones con los reguladores; — llegar a acuerdos con asesores legales; — revisar las fuentes de las obligaciones de compliance (pronunciamientos regulatorios y sentencias judiciales). Identificar las obligaciones por departamentos, funciones y diferentes tipos de actividades organizacionales para determinar quiénes se ven afectados por las obligaciones de compliance.
  • 78. Registro de obligaciones de compliance Ejemplo Legislación Descripción de la obligación Comentario de gobernanza Responsable Impuesto a los salarios La ley impone un impuesto a los salarios a partir de determinado monto Obligación de retener impuestos sobre la nómina de todos los salarios imponibles, declarar y pagar mensualmente al SENIAT. Contador Seguro social La ley establece la administración de la seguridad social y obligación de informar las incorporaciones de nuevos empleados que deben ser registrados en el seguro social. Obligación de reportar mensualmente al Seguro Social, las nuevas incorporaciones y los retiros de personal. Jefe de R.H. Protección de la familia La ley protege a la familia haciendo nulo el despido de mujeres embarazadas, con hijos recién nacidos o en período de lactancia. Haciendo nulo el despido que se produce en cualquier momento del periodo de gestación o dentro de los 90 días posteriores al nacimiento. Obligación de cumplir con la protección de la familia desde la gestación. Queda prohibido despedir al personal femenino que se encuentre en estado de embarazo o lactancia hasta 90 días después del nacimiento. Jefe de R.H.
  • 79. RIESGOS, OPORTUNIDADES Y OBJETIVOS DE COMPLIANCE 1. Identificación de riesgos y oportunidades 2. Análisis de riesgos y oportunidades 3. Evaluación de riesgos y oportunidades 4. Objetivos de compliance 5. Acciones para el tratamiento de riesgos y oportunidades
  • 80. IDENTIFICACIÓN DE LOS RIESGOS DE COMPLIANCE Los riesgos identificados son clasificados por proceso / área, describiendo el riesgo en cada caso. Elaborar una matriz que incluya lo siguiente: •Causas y consecuencias que puedan tener los escenarios de riesgo identificados •Definir la Probabilidad de que se materialice el riesgo •Establecer el Impacto del riesgo en la organización •Determinar los criterios de riesgo, escala de valores del impacto y la probabilidad, elaborando un procedimiento. Se puede incluir la vulnerabilidad y velocidad. •Controles existentes •Proceder a establecer los planes de acción para mitigar los riesgos. Identificar las oportunidades para el SGCO, clasificarlas por área: •Establecer los beneficios potenciales de cada oportunidad, el tratamiento que ser le va a dar y el plan de seguimiento.
  • 81. EJEMPLO DE LA MATRIZ DE RIESGOS Y OPORTUNIDADES DE COMPLIANCE IDENTIFICACION DEL RIESGO N° PROCESO / ÁREA DESCRIPCIÓN DEL RIESGO CAUSA DEL RIESGO CONSECUENCIA DEL RIESGO EVALUACIÓN DEL RIESGO ANÁLISIS DEL RIESGO CONTROLES EXISTENTES PROBABILIDAD IMPACTO NIVEL DE RIESGO Inherente MITIGACIÓN DEL RIESGO TRATAMIENTO DE LOS RIESGOS PLAN DE ACCIÓN PARA MITIGAR LOS RIESGOS RESPONSABLE FECHA DE IMPLEMENTACIÓN IDENTIFICACION DE LA OPORTUNIDAD DETERMINACIÓN DE LA OPORTUNIDAD N° DESCRIPCIÓN DE LA OPORTUNIDAD ÁREA DE NEGOCIO OCURRENCIAS ANTERIORES BENEFICIOS POTENCIALES TRATAMIENTO PLAN DE SEGUIMIENTO RESPONSABLES FECHA DE IMPLEMEN- TACIÓN PROGRAMADA FECHA DE IMPLEMEN- TACIÓN EJECUTADA MATRIZ DE RIESGOS: MATRIZ DE OPORTUNIDADES:
  • 82. Debe identificarse, analizar y valorar los riesgos de compliance, basándose en una evaluación de estos riesgos. Identificar los riesgos de compliance relacionandos a las obligaciones de compliance con actividades, productos, servicios y aspectos pertinentes de las operaciones. Debe evaluarse los riesgos de compliance relacionados con procesos contratados externamente y de tercera parte. Los riesgos de compliance deben evaluarse periódicamente y siempre que haya cambios materiales en las circunstancias o el contexto de la organización. Debe conservarse la información documentada sobre la evaluación de los riesgos de compliance y sobre las acciones para abordar los riesgos de compliance. Evaluación de riesgos de compliance
  • 83. Al planificar el sistema de gestión del compliance, la organización debe considerar el contexto interno y externo, los requisitos de las partes interesadas y determinar los riesgos y oportunidades que necesitan abordarse para: — asegurar que el SGCO puede lograr los resultados previstos; — prevenir o reducir los efectos no deseados; — lograr la mejora continua. Acciones para abordar riesgos y oportunidades Por otra parte debe considerar — sus objetivos de compliance; — las obligaciones identificadas de compliance; — los resultados de la evaluación de los riesgos de compliance.
  • 84. a) las acciones para abordar los riesgos y oportunidades; b) la forma de: 1) integrar e implementar las acciones en sus procesos del S. G. del compliance; 2) evaluar la eficacia de estas acciones. La organización debe planificar: Acciones para abordar riesgos y oportunidades
  • 85. RECURSOS Y COMPETENCIA 1. Identificación de recursos 2. Estimación de los recursos 3. Preparación del calendario para los recursos 4. Monitoreo de los recursos 5. Analizar las necesidades de competencias 6. Diseño del plan de capacitación 7. Capacitaciones 8. Evaluación de los resultados de las capacitaciones 9. Conservar la información documentada
  • 86. RECURSOS PERSONAL • Función de Compliance • Gerencia • Contador • Personal de ventas • Técnicos • Analistas INFRAESTRUCTURA • Equipos • Edificios • Espacio de trabajo • Servicios • Transporte • Comunicaciones AMBIENTE DE TRABAJO • Luz suficiente • Limpieza • Sillas ergonómicas • Protección de ruidos Los recursos de la organización pueden definirse como humanos, físicos, financieros o factores de conocimiento que se requiera para una efectiva operación y logro de sus objetivos. Las organizaciones necesitan diversos tipos de recursos para operar y entregar productos o servicios a sus clientes.
  • 87. Calendario de recursos Especificación de recursos • Detalle de los recursos necesarios para completar el proyecto de implementación del SGCO Definición de la frecuencia • Las veces que se requerirán los recursos (por semana / mes) Definición de la cantidad • Determinar la cuantía de cada recurso (horas, monto, número) en períodos establecidos Además de los indicados, la organización puede requerir una lista de las potenciales restricciones que pueden surgir durante el proyecto de implementación del SGCO.
  • 88. Monitoreo de recursos La identificación, estimación y calendario de los recursos, debe ser monitoreado con herramientas de seguimiento a los presupuestos de los recursos planificados y tiempos estimados. Utilizando las herramientas de monitoreo efectivas, la organización estará en la capacidad de: •Ser más efectiva en la gestión del personal •Tomar decisiones con base a la información con base a datos •Monitorear los recursos en tiempo real •Tener una amplia perspectiva sobre la marcha del proyecto de implementación del SGCO.
  • 89. PLAN DE COMUNICACIONES Organización 123, SA PLAN DE COMUNICACIONES DEL SISTEMA DE GESTIÓN DEL COMPLIANCE ASUNTO A COMUNICAR ¿Qué? EMISOR ¿Quién? RECEPTOR ¿A quién? MEDIOS ¿Cómo? DIRECCIÓN CUANDO Y FRECUENCIA INTERNA EXTERNA Política de compliance Alta Dirección, Función de Compliance Todo el personal Intranet, Carteleras, Folletos, Página Web. Inducciones, capacitaciones. X Permanente Al ingreso a la organización y periódicamente Clientes y proveedores y demás partes Interesadas Correo electrónico, Página Web. X Permanente, al iniciar una relación comercial con clientes o proveedores Objetivos del SGCO Alta Dirección, Función de Compliance Todo el personal y contratistas involucrados en el SGCO Intranet, Carteleras, Folletos, Página Web. Inducciones, capacitaciones. X X Permanente Al ingreso a la organización, al iniciar un trabajo mayor y periódicamente Análisis de Contexto Junta Directiva Todo el personal Revisión por la Dirección Intranet X Anualmente y cuando existan cambios relevantes Otros asuntos por comunicar: Partes Interesadas, Matriz de riesgos, controles de los riesgos de compliance, programa de sensibilización y difusión, lecciones aprendidas de las investigaciones de denuncias, acciones correctivas y preventivas, gestión del canal de denuncias, sugerencias e iniciativas de mejora.
  • 90. ANALIZAR LAS NECESIDADES DE COMPETENCIAS 1. Identificar los niveles de las competencias existentes 2. identificar las necesidades de competencias requeridas 3. comparar las necesidades de competencias requeridas con los niveles de competencias existentes 4. Utilizar el pensamiento basado en riesgos para priorizar las acciones para cerrar las brechas de competencias
  • 91. PROCESO DE EMPLEO Establecer procesos de manera que: a) las condiciones de empleo requieran que el personal cumpla con las obligaciones, las políticas, los procesos y los procedimientos de compliance de la organización; b) en un periodo de tiempo razonable desde su incorporación al empleo, el personal reciba una copia o se le dé acceso a la política de compliance y a formación relacionada con esa política; c) se tomen las acciones disciplinarias adecuadas contra el personal que infrinja las obligaciones, las políticas, los procesos y los procedimientos de compliance de la organización. Considerar los riesgos de compliance que presentan los roles y el personal. Aplicar la debida diligencia antes de cualquier contratación, cambio de puesto o promoción. Revisión periódica de las metas de desempeño, bonificaciones y demás incentivos. Verificar que se aplican las medidas adecuadas para evitar que se fomente el no cumplimiento de compliance.
  • 93. Debe proporcionar formación al personal pertinente de forma regular, desde su incorporación y a intervalos planificados determinados. La formación debe: a) ser adecuada a los roles del personal y a los riesgos de compliance a los que está expuesto el personal; b) evaluarse en términos de eficacia; c) revisarse regularmente • Teniendo en cuenta los riesgos de compliance identificados, debe asegurarse de que se implementan procedimientos para abordar la toma de conciencia y la formación en materia de compliance. • Los registros de formación se deben conservar como información documentada. Formación
  • 94. Toma de conciencia Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia de: — la política de compliance; — su contribución a la eficacia del SGCO, incluidos los beneficios de una mejora del desempeño del compliance; — las implicaciones de no cumplir los requisitos del SGCO. — los medios y procedimientos para plantear inquietudes de compliance; — la relación entre la política de compliance y las obligaciones de compliance pertinentes para sus roles; — la importancia de apoyar la cultura de compliance.
  • 95. PLAN DE CAPACITACIÓN Y CONCIENTIZACIÓN El propósito de la capacitación y concienciación es ayudar a asegurar que el personal pertinente entienda, según corresponda a su función, dentro o con la organización: • los riesgos de compliance que ellos y la organización enfrentan; • la política de compliance; • los aspectos del sistema de gestión del compliance correspondientes a su función; • cualquier acción preventiva y de reporte necesaria que precisen realizar en relación a cualquier riesgo o sospecha de no cumplimientos de compliance. El Plan de Capacitación y Concientización de compliance, forma parte de la planificación anual de capacitaciones que se elabora en general para todo el personal en el área de RH.
  • 96. INFORMACIÓN DOCUMENTADA DEL SGCO Recepción de la política de compliance por parte del personal Objetivos de compliance y planificación para lograrlos Resultados de la evaluación de los riesgos de compliance Evidencias de la formación de compliance Procedimientos para controlar las obligaciones y riesgos de compliance Registros de las obligaciones de compliance Acciones y resultados de las inquietudes planteadas en relación con: •1) cualquier debilidad del sistema de gestión del compliance; •2) incidentes sobre no cumplimientos de compliance; Resultados del seguimiento, investigación y auditoría llevados a cabo por la organización o por terceros.
  • 97. IMPORTANCIA DE LA INFORMACIÓN DOCUMENTADA El propósito además de servir como evidencia de conformidad del cumplimiento de un requisito, es servir de guía para la operación del SGCO y proveer información sobre la efectividad de los procesos y oportunidades de mejora La preparación de la información documentada no debe se en sí el objetivo. Esta debe ser un valor agregado para la actividad del SGCO Debe ser creada, mantenida y protegida de manera apropiada y suficiente para implementar y operar la gestión del SGCO.
  • 99. Se debe implementar controles para gestionar sus obligaciones de compliance y los riesgos de compliance asociados. Estos controles se deben mantener, revisar y probar periódicamente para asegurarse de que continúan siendo eficaces. NOTA: Los controles de prueba implican realizar un ejercicio diseñado para ver si el control cumple su propósito, si realmente es eficaz a la hora de reducir el impacto del riesgo o la probabilidad de que este se produzca Controles y procedimientos
  • 100. CANAL DE DENUNCIAS Elementos clave: • Crear una cultura de confianza • Ofrecer variedad de canales • Denunciantes no serán penalizados sino reconocidos • Tratar las denuncias con prontitud • Seguir los casos hasta la conclusión • Información de problemas críticos a la alta gerencia • Revisión independiente.
  • 101. CANAL DE DENUNCIAS – BUENAS PRÁCTICAS Los recursos humanos son un actor clave Ofrecer una variedad de canales Comunicar Que los canales de asesoramiento sean recursos de elección Completar el proceso de investigación de las denuncias presentadas Tratamiento adecuado de las investigaciones Revisión independiente Analizar y monitorear Asegurar la revisión por parte de la alta gerencia Informar los resultados públicamente
  • 102. PROCESOS DE INVESTIGACIÓN Los investigadores involucrados en procesos de investigación deben ser tan objetivos como sea posible. Deben utilizar políticas y procedimientos internos para realizar su trabajo. Este es un elemento clave de un procesos integrados y confiables Los procesos de investigación deben ser eficientes y efectivos. Involucrar a los empleados necesarios y conducir el trabajo en el menor tiempo posible.
  • 103. Designación de los investigadores Dependiendo de la naturaleza de la infracción cometida, la organización puede decidir por cuál departamento o investigador debe ser manejado el caso. Diferentes organizaciones asignan la labor de investigación a diferentes departamentos, tal como recursos humanos, auditoría, cumplimiento, etc. Dependiendo del caso que esté siendo investigado, personas de varias pueden estar involucradas con el fin de tener la mejor experticia.
  • 105. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN Seguimiento • Es el proceso de observar un sistema, proceso o producto para determinar los niveles de su desempeño Medición • Proceso que determina el valor y tratamiento de un sistema, proceso o producto Análisis • Proceso de examen de un sistema, proceso o producto con el fin de entenderlo mejor Evaluación • Es el proceso de estimación de la efectividad de un sistema, proceso o producto.
  • 106. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN 1. Definir las necesidades de información 2. Definir a qué se va a hacer seguimiento 3. Definir quién va a hacer seguimiento, medición, análisis y evaluación 4. Establecer los indicadores de desempeño 5. Reporte de los resultados Conservar la información documentada como evidencia
  • 107. La información documentada para proporcionar evidencia de los resultados debe estar disponible. Debe realizar seguimiento del sistema de gestión del compliance para asegurar que se alcanzan los objetivos de compliance. Debe determinar: — qué debe ser objeto de seguimiento y qué es necesario medir; — los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar resultados válidos; — cuándo se deben llevar a cabo el seguimiento y la medición; — cuándo se deben analizar y evaluar los resultados del seguimiento y la medición. Seguimiento, medición, análisis y evaluación
  • 108. Desarrollo de indicadores Se debe: — desarrollar, implementar y mantener un conjunto de indicadores adecuados que ayuden a evaluar el logro de los objetivos de compliance y a evaluar el desempeño del compliance.
  • 109.
  • 110. Auditoría interna Debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar información acerca de si el S.G. del compliance: a) cumple: — los requisitos propios de la organización para su SGCO; — los requisitos de esta norma; b) se implementa y mantiene eficazmente.
  • 111. Definición de Auditoría Proceso sistemático, independiente y documentado para obtener evidencia objetiva y evaluarla de manera objetiva, con el fin de determinar la extensión en que se cumplen los criterios de auditoría. Verifica si el auditado pone en evidencia lo que hace, en cumplimiento de lo establecido. AUDITORÍA INTERNA
  • 112. Tipos de auditoría Primera Parte Auditoría interna: Auditores de la propia organización evalúan su propio sistema de gestión. Segunda Parte Auditoría en la que un cliente audita a un proveedor ó proveedor potencial para dictaminar la capacidad de cumplir las condiciones contractuales. Tercera Parte Auditorías realizadas por organizaciones auditoras independientes, tales como autoridades reglamentarias o aquellas que proporcionan la certificación Internas Externas
  • 113. Principales servicios y actividades de auditoría interna 1. Evaluación de los objetivos del SGCO 2. Evaluación del proceso de gestión de riesgos 3. Evaluación de la efectividad y eficiencia de los procesos y controles 4. Evaluación de las revisiones del seguimiento y mediciones del SGCO 5. Evaluación de los procesos de mejora continua del SGCO 6. Coordinación para las auditorías externas. AUDITORÍA INTERNA
  • 114. Gestión de un programa de auditoría Planificar Hacer Verificar Actuar Establecimiento de los objetivos del programa de auditoría Determinación y evaluación de riesgos y oportunidades del programa Establecimiento del programa de auditoría Implementación del programa de auditoría Seguimiento del programa de auditoría Revisión y mejora del programa de auditoría A B
  • 115. Planificar Hacer Verificar Actuar Inicio de la auditoría Preparación de las actividades de auditoría Preparación y distribución del informe de auditoría Finalización de la auditoría Realización de las actividades de seguimiento de una auditoría A B Realización de las actividades de auditoría
  • 116. REVISIÓN POR LA DIRECCIÓN Definición: • La revisión por la dirección es una revisión periódica del desempeño del SGCO por la alta dirección para analizar si el sistema de gestión idóneo, adecuado y efectivo. Término Concepto Idóneo Los resultados son logrados de la mejor manera posible Adecuado Funciona de acuerdo con los criterios establecidos Efectivo El sistema cumple con las necesidades de la organización.
  • 117. Revisión por la dirección Debe incluir: a) el estado de las acciones de las revisiones por la dirección previas; b) los cambios en las cuestiones externas e internas que sean pertinentes para el SGCO; c) los cambios en las necesidades y las expectativas de las partes interesadas que son pertinentes para el SGCO; d) la información sobre el desempeño del compliance, incluidas las tendencias relativas a: — las no conformidades, no cumplimientos de compliance y acciones correctivas; — el seguimiento y los resultados de las mediciones; — los resultados de las auditorías; e) las oportunidades de mejora continua. El órgano de gobierno y la alta dirección deben revisar el SGCO de la organización a intervalos planificados, para asegurarse de su idoneidad, adecuación y eficacia continuas
  • 118. REVISIÓN POR LA DIRECCIÓN Actividades: 1. Preparación de la revisión por la dirección 2. Conducir la revisión por la dirección 3. Determinar los resultados de la revisión por la dirección 4. Seguimiento de la revisión por la dirección.
  • 119. Fuentes de opinión sobre el desempeño de compliance Se debe: — establecer, implementar, evaluar y mantener procesos para buscar y recibir opiniones de su desempeño del compliance de una serie de fuentes. La información debe analizarse y evaluarse críticamente para identificar las causas raíz de no cumplimientos de compliance, asegurar que se toman las acciones adecuadas y reflejar esta información en la evaluación periódica de riesgos.
  • 120. Informes de compliance Debe establecer, implementar y mantener procesos para proporcionar información en materia de compliance con el fin de asegurar que: a) se definen los criterios adecuados para la presentación de informes; b) se establecen plazos para la presentación periódica de informes; c) se implementa un sistema de informes de excepciones que facilita información ad hoc; d) se implementan sistemas y procesos para asegurar la exactitud e integridad de la información; e) se facilita una información exacta y completa a las funciones o áreas apropiadas, para permitir que se adopten acciones preventivas, correctivas y correcciones de manera oportuna. Cualquier informe emitido por la función de compliance para el órgano de gobierno o la alta dirección debe protegerse adecuadamente de modificaciones.
  • 121. Mantenimiento de registros Se debe: mantener registros exactos y actualizados de las actividades de compliance con objeto de ayudar en los procesos de seguimiento y revisión y para demostrar la conformidad con el S. G. del compliance.
  • 122. DEFINICIONES Mejora continua •Actividad recurrente para mejorar el desempeño Acción preventiva •Acción para eliminar la causa potencial de una no conformidad o de otra situación potencialmente indeseable Acción correctiva •Acción para eliminar la causa potencial de una no conformidad y prevenir su recurrencia Corrección •Acción para eliminar una no conformidad detectada.
  • 123. NO CONFORMIDADES Y ACCIONES CORRECTIVAS Lista de actividades 1. Identificación de la no conformidad 2. Reaccionar ante la no conformidad 3. Establecer los hechos para analizar la causa raíz 4. Análisis de la causa raíz de la no conformidad 5. Presentar los resultados 6. Definir el plan de acción 7. Implementar acciones correctivas 8. Mantener información documentada como evidencia 9. Revisar la efectividad de las acciones tomadas.
  • 124. Beneficios de la mejora continua Aumento de la eficiencia •La mejora continua permite el incremento de la productividad tanto que los cambios pueden mantenerse en el largo plazo para resultados positivos Equipos colaborativos •El trabajo continuo hacia un objetivo común ayuda a construir nuevas relaciones entre los equipos y refuerza los existentes Aumento de la satisfacción de los clientes •Mientras se mejora activamente los procesos, simultáneamente las organizaciones incrementan la calidad de los productos y servicios que ofrecen Reducción de errores •Con la mejora continua de los procesos, el número de errores en estos procesos también se reducirán.
  • 125. MEJORA CONTINUA Lista de actividades 1. Monitoreo de los factores de cambio 2. Recopilar entradas para la mejora continua 3. Planificar e implementar cambios al SGCO 4. Mantener y actualizar la información documentada 5. Documentar las mejoras
  • 126. VALIDACIÓN DEL CUMPLIMIENTO DE REQUISITOS Comprobar la aprobación de la política de compliance y el despliegue de la misma Ver si el contexto interno y externo, las partes interesadas están completos y aprobados Verificar que la Matriz de riesgos de compliance y oportunidades, así como la Matriz de Objetivos del SGCO están completos y aprobados Revisar obligaciones de compliance para ver si se incluyeron los cronogramas y alertas para el cumplimiento Validar con el informe de diagnóstico si todas las brechas fueron cubiertas. Inspeccionar si todos los procedimientos del SGCO están aprobados por las áreas respectivas.
  • 127. VALIDACIÓN DEL CUMPLIMIENTO DE REQUISITOS (Continuación) Probar que el SGCO y los controles funcionan correctamente, a fin de garantizar que los procedimientos de compliance se han implementado de manera efectiva y eficiente. Que las herramientas tecnológicas y documentación, cubren adecuadamente las funciones más vulnerables. Las funciones más vulnerables son: •Leyes fiscales •Contratos •Beneficios del personal •Gestión de permisos y aprobaciones regulatorias.
  • 128. PROCESO DE CERTIFICACIÓN Implementación del SGCO • Auditoría interna y revisión por la dirección • Selección del organismo de certificación Preparación de la auditoría • Fase 1 de la auditoría • Fase 2 de la auditoría (en el sitio) Seguimiento (si fuera necesario) • Confirmación y registro • Obtención del certificado Antes de la auditoría Auditoría inicial Después de la auditoría
  • 129. PREPARACIÓN PARA LA AUDITORÍA DE CERTIFICACIÓN Entender la norma Identificar expertos en la materia Asignar suficientes recursos Realizar una auto - evaluación Preparar al personal Recopilar la información documentada Preparación para una evaluación de la conformidad de tercera parte del SGCO
  • 130. FACTORES CLAVE PARA EL ÉXITO DE LA IMPLEMENTACIÓN Compromiso de la alta dirección con el programa de compliance. Equipo de implementación que incluya representación de toda la organiz. para asegurar que se cuenta con un apoyo generalizado en todos los niveles. Elaborar la Matriz de riesgos de compliance considerando las obligaciones de compliance. Lograr consenso en las medidas que se van a implementar. Comunicación oportuna y apropiada sobre el Sistema de Gestión del Compliance: funciones, responsabilidades y plazos. Comunicar los beneficios de compliance en toda la organización y las partes interesadas.
  • 131. CIERRE DEL PROYECTO DE IMPLEMENTACIÓN Formalmente, el cierre del proyecto es la última de las fases que componen el proceso de gestión del mismo, y aplica tanto al proyecto en su conjunto como a cada una de las fases de su ciclo de vida. De esta forma si tenemos un proyecto que se ejecuta en fases, cada una de las fases debe incluir su proceso de aceptación y cierre, ajustado a sus características concretas. SGCO IMPLEMENTADO