| 25 años generando CONFIANZA
ISO 37301 apartado 7
El punto 7 de la norma ISO 37301 – Sistemas de gestión de compliance es uno de los más extensos e importantes del estándar y se titula Soporte (en algunos estándares la traducción al castellano de esta sección se le denomina apoyo en la HLS).
A lo largo del desarrollo de este punto el texto hace hincapié en la relevancia de que existan los recursos necesarios para implementar el sistema de gestión de compliance (CMS), el personal sea competente en cuanto a compliance, el proceso de contratación sea transparente, entre otros. En vista de que son tópicos importantes, los desglosamos y explicamos en 12 claves para comprender el punto 7 de la 37301:
- ¿Te ha dado la impresión de que en la organización se espera que las cosas simplemente sucedan como si se tratara de magia? Pues bien, el compliance no puede resolverse con implementos, equipos y trabajadores de aquí y allá, deben asignarse recursos tecnológicos, financieros, materiales y humanos destinados a establecer, implementar, mantener y mejorar el SGC. El punto 7.1 de la norma se refiere, precisamente, al tema de los recursos.
- Como mencionamos en el punto anterior, los recursos humanos son primordiales. En la organización debería haber contribución continua de todo el personal como para que el área de compliance se encuentre cubierta y sea posible cumplir los requisitos de la norma. De no existir responsables, sería conveniente contratar externamente el compliance officer. En cualquier caso, el personal encargado tiene que ser competente para llevar a cabo las tareas de compliance que le toque desarrollar, tal como lo indica el punto 7.2 de la norma, referido a las competencias. ¿Cómo garantizar el cumplimiento de este apartado? Una forma eficaz de hacerlo puede ser crear un perfil de profesional ideal para determinado cargo y otro perfil real del trabajador. Ambos perfiles se pueden comparar y contrastar con el propósito de analizar qué competencias (educación, experiencia y formación) requiere el empleado y cómo se le pueden brindar.
- En el CMS participarán todos colaboradores. Por esto es recomendable brindar capacitaciones puntuales por cada función del sistema de gestión. Es especialmente importante reforzar los conocimientos de quienes desempeñarán roles cruciales.
- No olvides que existen diferentes maneras de recibir la formación en compliance: cursos, carreras, diplomados, charlas, mentorías, entre otras. ¿Las capacitaciones ya fueron hechas? ¡Fantástico! Solo recuerda mantener registros de cada una, pues ellas se convertirán en evidencias e información documentada.
- El apartado 7.2.1 de la ISO 37301 trata sobre generalidades y es enfático en que las personas encargadas de compliance tengan la formación, educación y experiencias adecuadas. ¡Nada de improvisación! El compliance engloba aspectos financieros, administrativos, operativos y reputacionales. La falta de competencias del personal podría traducirse en riesgos capaces de paralizar la organización.
- El proceso de contratación es abordado en el punto 7.2.2 de la norma y en él la palabra transparencia cobra relevancia, puesto que para contratar y promover personal debemos ser particularmente honestos. En este sentido, se sugiere estructurar el proceso de tal forma que no existan conflictos de intereses o tráfico de influencias. Además, solo podrán ser contratados quienes se comprometan a cumplir con las políticas, obligaciones y procedimientos de compliance.
- ¿Existen funciones en que los trabajadores estén expuestos a los riesgos de compliance? En estos casos se deberá llevar a cabo un proceso de debida diligencia sobre el personal.
- Revisar los objetivos de desempeño, las bonificaciones por logros obtenidos y otros incentivos, es conveniente porque estas medidas ayudan a fomentar el cumplimiento. Quienes incumplan también deberán someterse a acciones disciplinarias.
- La formación es tan importante que el apartado 7.2.3 se dedica exclusivamente a ella. El texto indica que el personal requiere formación no solo al inicio de la contratación, sino que las inducciones deben impartirse regularmente y con la frecuencia que la organización estime. ¿Esto sucede porque ISO 37301 es particularmente exigente? No, simplemente el contexto es cambiante y las obligaciones de compliance varían. Por ejemplo, las leyes son modificadas o se promulgan nuevas, se involucran otras partes interesadas, surgen nuevos procesos o procedimientos, se crean nuevas políticas y reglamentos, entre otros. Te sugerimos crear un plan de capacitaciones y chequearlo cada cierto tiempo para verificar que se cumpla y se mantenga actual.
- Asegúrate de construir una cultura de compliance basada en la consciencia. Para esto los trabajadores deben conocer por qué es importante el compliance, cuáles son los riesgos y consecuencias de incumplir, qué ganamos si cumplimos… la idea es que logremos que los trabajadores cumplan de manera voluntaria, que estén verdaderamente convencidos de hacerlo. ¿Qué te sugerimos para conseguirlo? Podrías servirte de herramientas como la gamificación (aprender jugando), videos informativos, trípticos y folletos, material interactivo, infografías, entre otros. De esto trata el punto 7.3 del estándar.
- La comunicación (apartado 7.4) nos ayuda a dar a entender los fundamentos del compliance. ¿Qué debemos considerar? Aspectos que podrían entorpecer o dificultar la efectividad del mensaje, como diversidad cultural, idiomas y opiniones de otras partes interesadas. Aconsejamos la creación de un modelo de comunicaciones que contenga el tema a abordar, fecha, destinatarios, quiénes elaborarán las comunicaciones y a través de qué medios lo harán. De esa forma lograríamos estandarizar las comunicaciones de manera eficaz.
- La norma ISO 37301 se refiere a la información documentada a lo largo del texto. Se exige dejar registros del alcance del CMS, de las obligaciones de compliance, política, objetivos y evaluación de riesgos. No es obligatorio contar con más información documentada que esa, pero sí es deseable que haya más información para poder garantizar la eficacia del CMS. Podríamos mencionar la importancia de contar con registros de las asignaciones de cargos, funciones y responsabilidades, procedimientos, políticas, planes, programas, acuerdos, códigos, manuales y demás. Esto constituye un control interno ordenado y confiable. Desde el apartado 7.5 hasta el 7.5.3 se refieren a la importancia de que la información documentada se encuentre disponible para las partes pertinentes, se controle adecuadamente la estructura documental y la información sea clasificada de forma adecuada.
Software Compliance de ISOTools
Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.
Así lo hace el Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones
Conozca más sobre esta solución preguntando a uno de nuestros asesores.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...