Saltar al contenido principal

ISO 37301 apartado 6

ISO 37301 – 6: Planificar para lograr el éxito

Portada » Blog Calidad y Excelencia » ISO 37301 – 6: Planificar para lograr el éxito

Sistema de Gestión Compliance

ISO 37301 apartado 6

La planificación puede ser el terror de las almas libres y una bofetada al conocido y cómodo “dejar que fluya”. Pero en el mundo organizacional las sorpresas que nos brinda la improvisación pueden conducir a una organización al final de su operación o costar cientos de empleos.

Por eso en este texto nos dedicaremos a explorar lo atinente a la planificación, tema que aborda la norma ISO 37301 – Sistemas de gestión de compliance en su punto 6 y abarca:

  • las acciones para abordar riesgos y oportunidades,
  • cómo trazar objetivos y lograrlos y
  • la planificación de cambios.

El compliance es uno de esos temas que no admite cabos sueltos ni dejar el futuro al azar, requiere conocimientos, voluntad, compromiso y constancia.

Puede que los riesgos y oportunidades lleguen a la empresa de forma intempestiva, pero siempre es posible prepararse para gestionar con éxito uno y otro. Para esto es imprescindible:

  • entender el contexto de la organización;
  • comprender las necesidades y expectativas de clientes y partes interesadas;
  • conocer las obligaciones de compliance.

El punto 6.1 de ISO 37301 trata de las acciones para tratar riesgos y oportunidades. En este apartado requerimos garantizar que sea posible lograr las metas previstas y que seamos capaces de prevenir y reducir/mitigar los riesgos. Como en todo sistema de gestión, la mejora continua debe estar asegurada e integrada como un proceso más. Si llegados a este punto te asalta la duda sobre qué hay que tener en cuenta al planificar el sistema de gestión de compliance (SGC la organización), te cuento que se trata de:

  • Idear controles, planes de tratamiento y/o acciones para abordar riesgos y oportunidades.
  • Precisar cómo se integrarán y aplicarán las acciones del punto anterior en cada proceso del SGC.
  • Evaluar la eficacia de las acciones que ideamos.

Para crear controles es muy importante que sepamos qué riesgos de cumplimiento acechan a la organización, qué podría pasar y de qué manera abordaríamos cada escenario. Todas las posibles soluciones deben tener como asidero los resultados de la evaluación de compliance. Si deseamos resumir este punto, podemos decir que nos adelantaremos a los desastres (pequeños o grandes) que puedan ocurrir y pensaremos cómo hacerles frente. También sabremos qué hacer en caso de que surjan circunstancias favorables al negocio y sepamos cómo aprovecharlas. Esto no podría lograrse sin incorporar la gestión de compliance en todas las actividades y procesos de la organización. Para no perder el foco recomendamos fijar objetivos de compliance, tomar decisiones adecuadas sobre recursos a emplear e involucrados en el SGC.

Cada medida que decidamos implementar debe ser probada para poder aplicarla con confianza llegado el momento justo. Para esto se requieren evaluaciones como auditorías internas, técnicas de medición y/o la revisión por parte de la dirección.

Riesgos de gestiónOportunidades de gestión
Cambios de las obligaciones de compliance sin gestiónAcceso a nuevos mercados
Multas por incumplimiento de obligaciones de complianceIncremento de crédito por parte de acreedores a los que se ha demostrado el cumplimiento de forma sostenido
Pérdida de confianza de las partes interesadas por incumplimientosAcceder a nuevos proyectos por contar con un sistema de gestion de compliance certificado

Tabla 1: ejemplos de riesgos y oportunidades en sistemas gestión de compliance

La importancia de dar en el blanco

El punto 6.2 del estándar citado nos remite a los objetivos de cumplimiento y planificación para lograrlos. Para esto requerimos establecer objetivos de compliance en las funciones y niveles pertinentes.

La norma indica que estas metas deben: ser coherentes con la política de compliance, para no entorpecer el resto del sistema de gestión y funcionar como un todo afín de forma estratégica; ser medibles (si es posible), para poder saber qué tan eficaces somos, cómo podemos mejorar y si se está haciendo mal algo; tener en cuenta los requisitos aplicables, con el propósito de trabajar justo en lo que la empresa necesita, cabe destacar que la ISO 37301 forma parte de un grupo de estándares que tienen la aclaratoria que los objetivos deben ser medibles si es posible, pues si no es posible medirlo igual se puede establecer como objetivo y se describa que fue alcanzado o no mediante unas características preestablecidas ( ejemplo mejorar la cultura de compliance); ser comunicados en todos los niveles pertinentes e incluyendo a todos los que se van a involucrar en el CMS;  actualizarse según corresponda, para que por temas de cambios en los procesos y el contexto no corramos el riesgo de incumplir y estar disponible como información documentada, lo cual fortalece la capacidad de comunicarlo y ser entendido.

¿Objetivos listos?

Ejemplo de objetivos de compliance

  • Mejorar la cultura de compliance.
  • Mejorar la eficacia de compliance del año 2022 con al menos con 2 iniciativas de alcance corporativo.
  • Aumentar el alcance del sistema de gestion de compliance en el año 2022 a los centros de operaciones xxxx y vvvvv.

Planificar = ganar 

La norma ISO 37301 rige todo lo concerniente al compliance y es una guía estupenda que nos indica qué es lo prioritario y cómo avocarnos a ello. Incluso pauta lo que debemos hacer si queremos llevar a cabo cambios en el CMS (apartado 6.3).

La planificación de los cambios es tan importante que ya no es un complemento más de la norma ISO 9001, sino que cuenta con probada relevancia en cada estándar que deseemos implementar.

¿Cómo empezamos? Emplearemos el siempre útil ciclo PHVA y abordaremos especialmente los cambios que puedan incidir directamente en los objetivos de compliance. Por eso planificaremos muy bien cada modificación que vayamos a hacer al entender por qué queremos ejecutar el/los cambios, qué consecuencias podrían ocurrir, con qué recursos contamos, si es necesario o no asignar nuevas responsabilidades y autoridades o reasignar estas.

Para gestionar los cambios se deben contar con esta relación.

Requisito¿Para qué?
el propósito de los cambios y sus potenciales consecuencias;Para poder garantizar que el cambio tiene un motivo que beneficie a la organización y que si implica un riesgo se controle
el diseño y la eficacia operacional del sistema de gestión del compliance;Para velar por la integridad del sistema de gestión de compliance y asegurar su eficacia en el nuevo estadio
la disponibilidad de los recursos adecuados;Para asegurar que el cambio pueda realizarse en tiempo y forma
la asignación o reasignación de las responsabilidades y autoridadesPara evitar que los nuevos elementos o el cambio de los mismos se queden sin capacidad de toma de decisiones o de personas que mantenga su armonía con el resto de los elementos del sistema de gestión de compliance

Software Compliance de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

CTA post Tira Contacto 2

RECIBA ASESORAMIENTO SIN COMPROMISO

¿Desea saber más?

Entradas relacionadas

Implementar una estrategia de sostenibilidad paso a paso

Estrategia de sostenibilidad A través de la estrategia de sostenibilidad, las organizaciones establecen cuál es su orientación hasta…

Ver más
Ventajas SGSI
Ventajas de tener un sistema de gestión de seguridad de la información (II)

Sistema de Gestión Seguridad de la Información En el anterior artículo tratamos cómo las organizaciones se beneficias del…

Ver más
Riesgos IT
¿Cómo gestionar riesgos IT con la nueva ISO 27002?

Riesgos IT Lo primero que debemos saber antes de abordar cómo gestionar los riesgos en tecnologías de la…

Ver más