Learn how to design, implement. operate and certify a compliance program under the new ISO 37301. Join the IE Law School professors, Alvaro Arjona l Ph.D, Jesica Hita Ruiz, Fabio G. Pérez-Bryan and me, to get a toolbox with facilitators, guidance, reference policies, checklist and other practical references. 8 modules - 12 hours - Sept 27th and 28th - Online - Requirements, terms scope, elements and certification and consultancy market - Practical impact. main changes, benchmark, and introduced components - Adequacy for criminal law compliance in Spain (UNE 19601) and in LatAm - Processes from risk analysis to reporting and evaluation - Implementation of requirements - Recommendations and facilitators for implementation. - Roadmap with evidence to certify - Documentation review program for implementation assurance - Methodology for testing compliance controls and documentation reviews Thanks to Sibel Abdulovska, Paula Abascal Gutierrez-Colomer and Maria Serrano for the flawless coordination of the course. Lean more: https://lnkd.in/gezyzmgn #ISO37301 #CCO #compliance #audit #certification #ISO37002

1. ISO 37301
IE LAW SCHOOL
Aseguramiento
28 de septiembre
Hernan Huwyler

2. ISO 37301
Programa de revisión de
documentación para el
aseguramiento de la
implementación

3. ¿Cuáles son
las
dificultades en
asegurar el
cumplimiento?

4. ISO 37301 sobre auditoria
Requerimiento de auditar el sistema de gestión
de cumplimiento
auditorías internas
cronograma de auditorías repetitivas
sobre los atributos de control de la ISO
Balance entre dos objetivos
Diseño efectivo de los controles en políticas
– mitigar riesgos de incumplimiento
– cubrir los requerimientos de la ISO
Cumplimiento efectivo de los controles

5. ISO 37301 sobre auditoria
Programa de auditoria de los sistemas
Alcance funcional, de unidades de
negocios y geográfico
Planeamiento y frecuencia de revisiones
– Riesgos y no conformidades pasadas
Roles y responsabilidades
Métodos de auditoría
Reportes

6. ISO 37301 sobre auditoria
Programa de auditoria
Objetivos > Impacto en el reporte
– Diseño o cumplimiento
– Aseguramiento interno o externo
Criterio
– Requerimientos > leyes, regulaciones
– Políticas > Contratos con 3Ps
Alcance
– Periodo, entidades, operaciones
– Autoevaluación e testeo independiente

7. ISO 37301 sobre auditoria
Objetivos de auditoria
prioridades de la dirección
propósitos comerciales
requerimientos del sistema de gestión
requerimientos contractuales, regulatorios y
legales
necesidad de evaluación al proveedor
requerimientos del cliente
necesidades de otras partes interesadas
riesgos para la organización

8. Hoja de ruta > ISO 19011:2018
Seleccionar el auditor
Compliance officer > impacto en las
otras tareas del programa de
compliance
Auditor interno > coordinación
Auditor de despacho independiente
o certificadora > planear el contrato
e incompatibilidades
1

9. Hoja de ruta > ISO 19011:2018
Hacer un planeamiento inicial
Identificar controles según su riesgo
Revisar resultados de auditorías anteriores
Identificar cambios en ambiente
Entender los requerimientos y operatoria
Armar el equipo con las competencias
necesarias
Dotar presupuesto
2

10. Hoja de ruta > ISO 19011:2018
Presentación a interesados
Reunirse con interesados para validar el
alcance
Presentar al auditor líder como el canal de
comunicación
Compartir y validar el programa de auditoria
Coordinar inicio y final de los trabajos
Determinar reglas de protección de
documentación
Solicitar información
3

11. Hoja de ruta > ISO 19011:2018
Preparación del plan de auditoria
Armado de listas de verificación y
planes de muestreo
Armado de hojas de testeo modelo
Reunión de apertura para comunicar
objetivos, confirmar plan y presentar
equipo
4

12. Hoja de ruta > ISO 19011:2018
Evaluar controles
Entrevistas
Evaluación de documentación
Inspecciones
Seleccionar muestras
Comparar los criterios contra la
evidencia
Comunicar estados y avances
5

13. Hoja de ruta > ISO 19011:2018
Discutir hallazgos
Validar si son no conformidades
Revalidar los hechos
Evaluar la causa raíz
Revisar por pares o supervisor
Evaluar tendencias de
incumplimientos
6

14. Hoja de ruta > ISO 19011:2018
Reportar conclusiones de auditoria
Determinar la factibilidad de hacer una
conclusión (e.g. toda la información)
Revisar la retención de documentación de
testeo
Reunión de cierre
Negociar planes de remediación
Hacer seguimiento de remediaciones
Evaluar la calidad y satisfacción
7

15. ISO 37301 sobre auditoria
Requer
imiento
+
10k
Aprob
A
Aprob
A y B
Doc
B
Requerimientos
Especificaciones, permisos,
prohibiciones, tiempos límites y
documetnación según cada condición
de unsa transacción
Traducidos de “Legales” a reglas
Estructurados en los sistemas
Doc
A
Proceso de negocio
Flujo de datos, controles, tiempos
de proceso y documentación

16. ISO 37301 sobre auditoria
Requer
imiento
+
10k
Aprob
A
Aprob
A y B
Doc
B
Output
Excepciones a las normas
Causas raíz
Priorización y valuación
deincumplimientos
Bases de no conformidades
Planes de remediación
Doc
A
Input
Priorización de atributos
Universo de operaciones
Validación del universo
Selección de muestras

17. Herramienta > Mapa de aseguramiento

18. Auditoria del sistema
Auditorías internas a intervalos
planificados
para proporcionar información sobre la
implementación y el cumplimiento de
los requisitos propios de la
organización para su sistema de
gestión del compliance
los requisitos de la ISO 37301

19. Auditoría
Proceso sistemático e independiente
para obtener las evidencias y evaluarlas
de manera objetiva
con el fin de determinar el grado en el
que se cumplen los criterios de auditoría
Interna > de primera parte
externa > de segunda o tercera parte

20. Auditoría
Testear
Análisis por compliance de operaciones
de alto riesgo
Monitorear
Supervisión permanente que las
operaciones se analizan cómo
funcionan los elementos del sistema de
compliance, el monitoreo se hace dentro
de la función a través de aprobaciones

21. Criterio de auditoría
conjunto de requisitos usados como
referencia frente a la cual se compara la
evidencia objetiva
Requisitos
legales o reglamentarios
políticas, procedimientos, instrucciones
obligaciones contractuales

22. Evidencia de la auditoría
registros, declaraciones de hechos o
cualquier otra información
que es pertinente para los criterios de
auditoría y que es verificable
La ISO 19011 contiene directrices para la
auditoría de los sistemas de gestión

23. Controles de cumplimiento
Controles eficaces para asegurar que se
cumplen las obligaciones de compliance
y que se previenen, o se detectan y
corrigen, los no cumplimientos de
compliance.
Diseñados para facilitar el cumplimiento
de las obligaciones de compliance
específicas de las actividades
Integrados en los procesos como
procedimientos, sistemas y contratos

24. Controles de cumplimiento
código de conducta, políticas y
procedimientos comunicados
informes de excepciones y
autorizaciones
la segregación de funciones
procesos automatizados
plan anual de compliance
planes de desempeño de empleados
evaluaciones y auditorias de compliance

25. Controles de cumplimiento
Visitas in situ
Entrevistas con la gestión y operaciones
Revisión de respuestas a reclamaciones
Cuestionarios de autoevaluación
Revisiones hechas por colegas (peer reviews)
Revisiones de documentación
Análisis de tendencia
Entrevistas de salida
Problemas y tendencias de la línea de denuncia

26. Fuentes sobre cumplimiento
los registros de control de procesos y
registros de actividad
el personal > canales de denuncias
los clientes > reclamos
las terceras partes > encuestas
los proveedores
los contratistas
los reguladores

27. Programa de auditoría interna
La organización debe planificar,
establecer, implementar y mantener
programas de auditoría que incluyan
la frecuencia, los métodos,
responsabilidades, requisitos de
planificación e informes
considerando la importancia de los
procesos involucrados y los resultados
de las auditorías previas

28. Programa de auditoría interna
Requisitos de cada auditoria
definir los criterios, los objetivos y el
alcance
seleccionar los auditores objetivos e
imparciales
Comunicar los resultados de las
auditorías a los gerentes pertinentes y a
la dirección incluyendo compliance, la
alta dirección y el órgano de gobierno

29. Herramienta > Rueda compliance

30. Sistema de supervisión del programa
Implementar líneas de reportes con
indicadores
Construir un sistema de delegación de
autoridad con aprobaciones
Evaluar la capacidad de los gerentes de
entender los requerimientos
Evaluar el coste del monitoreo y la
cantidad de operaciones a seguir
Evaluar tener un programa de
autoevaluación de controles

31. Revisión por la dirección
El órgano de gobierno y la alta dirección
deben
revisar el sistema de gestión del
compliance de la organización a
intervalos planificados,
para asegurarse de su idoneidad,
adecuación y eficacia continuas

32. Revisión por la dirección
el estado de las acciones de las revisiones
previas
los cambios en las cuestiones externas e
internas y en las necesidades de las partes
interesadas
la información sobre el desempeño del
compliance incluyendo no conformidades y acciones
correctivas, el seguimiento y los resultados de las mediciones, y
los resultados de las auditorías
las oportunidades de mejora continua

33. Alcance de revisión por la dirección
la adecuación de la política
de compliance
la independencia de
compliance
cumplimiento de los objetivos
de compliance
la adecuación de los
recursos
la adecuación de la
evaluación de riesgos de
compliance
la eficacia de los controles e
indicadores de desempeño
existentes
la comunicación por parte de
las personas que plantean
inquietudes, partes
interesadas, que incluye
opiniones y quejas, las
investigaciones y la eficacia
del sistema de informes

34. Acción por no conformidades
controlar y corregir
responder a las consecuencias
eliminar las causas para evitar
reincidencias
evaluar situaciones similares
revisar la eficacia de las acciones
correctivas tomadas
hacer cambios necesarios en el sistema de
gestión del compliance