| 25 años generando CONFIANZA
ISO 37301 apartado 6
La planificación puede ser el terror de las almas libres y una bofetada al conocido y cómodo “dejar que fluya”. Pero en el mundo organizacional las sorpresas que nos brinda la improvisación pueden conducir a una organización al final de su operación o costar cientos de empleos.
Por eso en este texto nos dedicaremos a explorar lo atinente a la planificación, tema que aborda la norma ISO 37301 – Sistemas de gestión de compliance en su punto 6 y abarca:
- las acciones para abordar riesgos y oportunidades,
- cómo trazar objetivos y lograrlos y
- la planificación de cambios.
El compliance es uno de esos temas que no admite cabos sueltos ni dejar el futuro al azar, requiere conocimientos, voluntad, compromiso y constancia.
Puede que los riesgos y oportunidades lleguen a la empresa de forma intempestiva, pero siempre es posible prepararse para gestionar con éxito uno y otro. Para esto es imprescindible:
- entender el contexto de la organización;
- comprender las necesidades y expectativas de clientes y partes interesadas;
- conocer las obligaciones de compliance.
El punto 6.1 de ISO 37301 trata de las acciones para tratar riesgos y oportunidades. En este apartado requerimos garantizar que sea posible lograr las metas previstas y que seamos capaces de prevenir y reducir/mitigar los riesgos. Como en todo sistema de gestión, la mejora continua debe estar asegurada e integrada como un proceso más. Si llegados a este punto te asalta la duda sobre qué hay que tener en cuenta al planificar el sistema de gestión de compliance (SGC la organización), te cuento que se trata de:
- Idear controles, planes de tratamiento y/o acciones para abordar riesgos y oportunidades.
- Precisar cómo se integrarán y aplicarán las acciones del punto anterior en cada proceso del SGC.
- Evaluar la eficacia de las acciones que ideamos.
Para crear controles es muy importante que sepamos qué riesgos de cumplimiento acechan a la organización, qué podría pasar y de qué manera abordaríamos cada escenario. Todas las posibles soluciones deben tener como asidero los resultados de la evaluación de compliance. Si deseamos resumir este punto, podemos decir que nos adelantaremos a los desastres (pequeños o grandes) que puedan ocurrir y pensaremos cómo hacerles frente. También sabremos qué hacer en caso de que surjan circunstancias favorables al negocio y sepamos cómo aprovecharlas. Esto no podría lograrse sin incorporar la gestión de compliance en todas las actividades y procesos de la organización. Para no perder el foco recomendamos fijar objetivos de compliance, tomar decisiones adecuadas sobre recursos a emplear e involucrados en el SGC.
Cada medida que decidamos implementar debe ser probada para poder aplicarla con confianza llegado el momento justo. Para esto se requieren evaluaciones como auditorías internas, técnicas de medición y/o la revisión por parte de la dirección.
Riesgos de gestión | Oportunidades de gestión |
Cambios de las obligaciones de compliance sin gestión | Acceso a nuevos mercados |
Multas por incumplimiento de obligaciones de compliance | Incremento de crédito por parte de acreedores a los que se ha demostrado el cumplimiento de forma sostenido |
Pérdida de confianza de las partes interesadas por incumplimientos | Acceder a nuevos proyectos por contar con un sistema de gestion de compliance certificado |
Tabla 1: ejemplos de riesgos y oportunidades en sistemas gestión de compliance
La importancia de dar en el blanco
El punto 6.2 del estándar citado nos remite a los objetivos de cumplimiento y planificación para lograrlos. Para esto requerimos establecer objetivos de compliance en las funciones y niveles pertinentes.
La norma indica que estas metas deben: ser coherentes con la política de compliance, para no entorpecer el resto del sistema de gestión y funcionar como un todo afín de forma estratégica; ser medibles (si es posible), para poder saber qué tan eficaces somos, cómo podemos mejorar y si se está haciendo mal algo; tener en cuenta los requisitos aplicables, con el propósito de trabajar justo en lo que la empresa necesita, cabe destacar que la ISO 37301 forma parte de un grupo de estándares que tienen la aclaratoria que los objetivos deben ser medibles si es posible, pues si no es posible medirlo igual se puede establecer como objetivo y se describa que fue alcanzado o no mediante unas características preestablecidas ( ejemplo mejorar la cultura de compliance); ser comunicados en todos los niveles pertinentes e incluyendo a todos los que se van a involucrar en el CMS; actualizarse según corresponda, para que por temas de cambios en los procesos y el contexto no corramos el riesgo de incumplir y estar disponible como información documentada, lo cual fortalece la capacidad de comunicarlo y ser entendido.
¿Objetivos listos?
Ejemplo de objetivos de compliance
- Mejorar la cultura de compliance.
- Mejorar la eficacia de compliance del año 2022 con al menos con 2 iniciativas de alcance corporativo.
- Aumentar el alcance del sistema de gestion de compliance en el año 2022 a los centros de operaciones xxxx y vvvvv.
Planificar = ganar
La norma ISO 37301 rige todo lo concerniente al compliance y es una guía estupenda que nos indica qué es lo prioritario y cómo avocarnos a ello. Incluso pauta lo que debemos hacer si queremos llevar a cabo cambios en el CMS (apartado 6.3).
La planificación de los cambios es tan importante que ya no es un complemento más de la norma ISO 9001, sino que cuenta con probada relevancia en cada estándar que deseemos implementar.
¿Cómo empezamos? Emplearemos el siempre útil ciclo PHVA y abordaremos especialmente los cambios que puedan incidir directamente en los objetivos de compliance. Por eso planificaremos muy bien cada modificación que vayamos a hacer al entender por qué queremos ejecutar el/los cambios, qué consecuencias podrían ocurrir, con qué recursos contamos, si es necesario o no asignar nuevas responsabilidades y autoridades o reasignar estas.
Para gestionar los cambios se deben contar con esta relación.
Requisito | ¿Para qué? |
el propósito de los cambios y sus potenciales consecuencias; | Para poder garantizar que el cambio tiene un motivo que beneficie a la organización y que si implica un riesgo se controle |
el diseño y la eficacia operacional del sistema de gestión del compliance; | Para velar por la integridad del sistema de gestión de compliance y asegurar su eficacia en el nuevo estadio |
la disponibilidad de los recursos adecuados; | Para asegurar que el cambio pueda realizarse en tiempo y forma |
la asignación o reasignación de las responsabilidades y autoridades | Para evitar que los nuevos elementos o el cambio de los mismos se queden sin capacidad de toma de decisiones o de personas que mantenga su armonía con el resto de los elementos del sistema de gestión de compliance |
Software Compliance de ISOTools
Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.
Así lo hace el Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones
Conozca más sobre esta solución preguntando a uno de nuestros asesores.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...