| 25 años generando CONFIANZA
ISO 37301 apartado 9
¿Alguna vez pusiste en duda la utilidad del ciclo PHVA? Todas las normas tienen que ver con el ciclo de Deming: planificar, hacer, verificar y actuar. El punto 9 de la norma ISO 37301 – Sistema de gestión de compliance (CMS) está dedicado, precisamente, a verificar. Engloba la evaluación de desempeño (9), seguimiento, medición, análisis y evaluación (9.1), entre otros.
Sin verificación nos encontraríamos en un ciclo interminable de hacer, sin comprobar en qué aspectos organizacionales debemos enfocar nuestros esfuerzos ni evaluar cuál es el grado de cumplimiento del CMS.
Si lo primordial es trazar objetivos de cumplimiento, entonces lo segundo en importancia vendría a ser precisar qué debemos monitorear y medir, cada cuánto tiempo se harán tales análisis, quiénes los llevarán a cabo, mediante qué métodos obtendremos los hallazgos, de qué forma guardaremos los resultados de las evaluaciones y en qué acciones se traducirá lo que se descubra. Siempre es relevante saber si cumplimos – y en qué medida – con las políticas, protocolos y reglamentos de la empresa, leyes y disposiciones nacionales, controles, entre otros.
Con los hallazgos obtenidos podemos tomar decisiones conscientes, inteligentes e informadas, puesto que nos estaríamos basando en datos y evidencias confiables. Estos conocimientos obtenidos son potencialmente valiosos si nos proponemos hacer crecer el negocio.
En ISO 37301 apartado 9, concretamente en el punto 9.1.2 del estándar nos conmina a servirnos de las fuentes de retroalimentación para que nos hagamos una idea de los niveles de cumplimiento de la organización. Ello incluye recibir información de diversas fuentes (trabajadores que denuncien irregularidades, clientes, controles de procesos y registros de actividades, proveedores, contratistas, entre otros) y brindar una mirada crítica y evaluativa con el fin de descubrir los porqués de los incumplimientos.
Los indicadores no mienten
Si necesitamos saber con certeza si los objetivos de compliance fueron conseguidos, ¿Qué debemos hacer? ¡medir! Los indicadores no engañan. ¿Cómo sabremos si la empresa se encamina hacia al cumplimiento, si el rumbo es correcto? ¡seguimos midiendo! Y es que los indicadores son una suerte de brújula, una radiografía que se le toma al sistema de gestión de compliance (CMS) y que nos revela, de forma confiable, en qué punto nos encontramos, y, por consiguiente, cuáles serán los próximos pasos. Los indicadores son el tema que expone la ISO 37301 en el apartado 9, específicamente en el punto 9.1.3 de la norma.
Para mejorar, necesitamos saber que nuestra labor es perfectible, conclusión a la que llegaremos tras medir. Una manera de percibir la evolución de los esfuerzos llevados a cabo podría ser gracias a gráficos que reflejen el estado del indicador en su fase inicial, cuál es la tendencia, riesgos, implicaciones y demás. Indiscutiblemente, la norma ISO 37301 orientará a las organizaciones comprometidas con el cumplimiento, pues apunta hacia sociedades más transparentes y justas.
Ninguna medición, análisis y evaluación estarían completas sin los informes de cumplimiento que resultan tras haber obtenido los resultados. El apartado 9.1.4 de la norma ISO 37301 tiene como propósito el reporteo. Esto garantiza que el desempeño del CMS es informado a las partes interesadas pertinentes.
Para cumplir con el mencionado punto podríamos crear una política de reportes de compliance y procedimientos de reportes en los que se precise
- Frecuencia de los reportes.
- Notificaciones a reuniones, citas y/o contactos con autoridades reguladoras.
- Cambios en cuanto a riesgos de compliance.
- Nuevos requerimientos, responsabilidades y obligaciones de compliance.
- Resultados de las mediciones.
- Incumplimientos hallados y acciones correctivas implementadas.
- Desempeño del CMS.
- Resultados de auditorías.
Los registros cuentan con carácter verificador y demostrativo, por eso esta clase de información documentada constituye evidencias. Si es menester comparecer ante la justicia, los registros de procesos y controles son probatorios de nuestras gestiones. De allí la importancia del mantenimiento de los registros (9.1.5), que debe ser el más adecuado posible, libre de adiciones, supresiones, omisiones, modificaciones, usos no autorizados y similares.
Una herramienta potente
La auditoría interna (9.2) es una de las herramientas más poderosas de las que podemos valernos para detectar equívocos que tal vez no sabemos que existen, y que, al conocer, nos darán una idea global de hacia dónde pueden apuntar nuestros esfuerzos y los del equipo de trabajo.
La norma ISO 37301 señala cómo deben llevarse a cabo las auditorías, establece que la compañía requiere planificar la realización de estos procesos con cierta regularidad, para que sea posible conocer si el CMS se ajusta a los requisitos de la empresa y a los de la norma. También para precisar si la implementación y mantenimiento resultan efectivos.
El punto 9.3 del estándar contempla la revisión por la dirección, que debería incluir también recomendaciones sobre:
- la necesidad de cambios en la política de compliance y en sus objetivos, sistemas, estructura y personal asociados;
- los cambios en los procesos de compliance para asegurar la integración eficaz con las prácticas operacionales y los sistemas;
- las áreas sobre las que hacer seguimiento de no cumplimientos de compliance futuros potenciales;
- las acciones correctivas respecto a los no cumplimientos de compliance;
- las lagunas o carencias en los sistemas del compliance actuales e iniciativas de mejora continua más a largo plazo;
- el reconocimiento de un comportamiento de compliance ejemplar dentro de la organización.
Los resultados de la revisión por la dirección (9.4) tienen que contener las decisiones que se han tomado tras analizar la información obtenida. Esto puede materializarse en informes documentados (no necesariamente de gran extensión) contentivos de los temas tratados, acciones propuestas, responsables, plazos y recursos para implementar dichas acciones, actas de reuniones, minutas, detección de oportunidades de mejora, necesidades de cambios del CMS, entre otros.
Software Compliance de ISOTools ISO 37301
Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.
Así lo hace el Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones
Conozca más sobre esta solución preguntando a uno de nuestros asesores.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...