ISO 19600. 4. Contexto de la organización

ISO 19600. 4.- Contexto de la organización

4.1 Comprensión de la organización y de su contexto

La organización tiene que establecer las cuestiones externas e internas que son pertinentes para su propósito, como puede ser las que se refieren a los riesgos de compliance, y que afectan a su capacidad para conseguir los resultados previstos de su sistema de gestión de compliance. Para esto, la empresa debe considerar un conjunto amplio de aspectos internos y externos, tales como el contexto regulatorio, social y cultural, la situación económica y las políticas internas, los procedimientos, los procesos y los recursos.

 

4.2 Compresión de las necesidades y expectativas de las partes interesadas

Las empresas tienen que establecer:

  • Las partes interesadas que son pertinentes al sistema de gestión de compliance
  • Los requisitos de las partes interesadas

 

4.3 Determinar el alcance del sistema de gestión de compliance

La empresa tiene que establecer los límites y la aplicabilidad del sistema de gestión de compliance para establecer el alcance.

Cuando se establezca este alcance, la empresa debe considerar:

  • Las cuestiones externas e internas referidas al punto 4.1
  • Los requisitos que se refieren al punto 4.2 y 4.5.1

 

El alcance debe estar disponible como información documentada.

 

4.4 Sistemas de Gestión de Compliance y principios de buen gobierno

La empresa tiene que establecer, implantar, mantener y mejorar de forma continua el sistema de gestión de compliance, incluyendo los procesos necesarios y sus interacciones, según los requisitos de esta norma, teniendo en cuenta los siguientes principios de gobierno:

  • Acceso directo de la función de compliance al órgano de gobierno
  • Independencia de la función de compliance
  • Asignar a la función de compliance de la autoridad correspondiente y de recursos adecuados.

 

El sistema de gestión de compliance tiene que reflejar los valores, objetivos, estrategia y riesgo de compliance de la organización.

 

4.5 Obligaciones de compliance

4.5.1 Identificación de las obligaciones de compliance

La empresa tiene que identificar de forma sistemática sus obligaciones de compliance y las implicaciones que estas tienen para sus actividades, productos y servicios. La empresa debe considerar todas las obligaciones que tiene que establecer, desarrollar, implantar, evaluar, mantener y mejorar el sistema de gestión de compliance.

La empresa tiene que documentar las obligaciones de compliance de forma adecuada a su tamaño, complejidad, estructura y operaciones.

Las fuentes de las obligaciones de compliance debe incluir requisitos de compliance y puede incluir compromisos de compliance.

 

4.5.2 Mantenimiento de las obligaciones de compliance

La empresa tiene que disponer de procesos en los que se identifiquen las novedades y modificaciones en la legislación, los códigos y las obligaciones de compliance para asegurar un cumplimiento de forma continua. Las empresas tienen que establecer procesos para evaluar el impacto de los cambios identificados y para implementar cualquier cambio en la gestión de las obligaciones de compliance.

 

4.6 Identificación, análisis y evaluación de los riesgos de compliance

La empresa tiene que identificar y evaluar los riesgos de compliance. Esta evaluación puede estar basada en la apreciación de riesgos formales o bien puede llevarse a cabo mediante los enfoques alternativos. La apreciación de riesgos de compliance constituye la base para la implementación del sistema de gestión de compliance y para planificar la asignación de recursos y de procesos que sean adecuados y apropiados para gestionar los riesgos de compliance identificados.

La empresa tiene que identificar todos los riesgos de compliance relacionando las obligaciones de compliance con sus actividades, productos, servicios y aspectos que ocurran durante las operaciones, con el objetivo de identificar situaciones en las que se puedan incurrir en incumplimiento de compliance. La empresa tiene que identificar las causas y las consecuencias de los incumplimientos de compliance.

La empresa tiene que analizar los riesgos de compliance considerando las causas y las fuentes de los incumplimientos de compliance y la gravedad de sus consecuencias, así como la probabilidad de que ocurran los incumplimientos de compliance y las consecuencias que se encuentran asociadas. Las consecuencias pueden incluir, por ejemplo, daño personal y ambiental, pérdidas económicas, daño reputacional y responsabilidades administrativas.

La evaluación de los riesgos incluye que se compare el nivel de riesgos de compliance identificado durante el proceso de análisis, con el nivel de riesgos de compliance que la empresa puede y esta dispuesta a aceptar. Si nos basamos en la comparación, se pueden establecer las prioridades como base para determinar las necesidades de implementar controles y la extensión de dichos controles.

Los riesgos de compliance tiene que reevaluarse de forma periódica y en todo caso cuando haya:

  • Actividades, productos o servicios nuevos o modificados.
  • Cambios en la estructura o en la estrategia de la organización.
  • Cambios externos significativos, tales como circunstancias económico-financieras, condiciones de mercado, pasivos y relaciones con los
  • Cambios en las obligaciones de compliance.
  • Incumplimiento de compliance.
Volver arriba