ISO 19600. 9. Evaluación del desempeño

ISO 19600. 9.-  Evaluación del desempeño

9.1 Seguimiento, medición, análisis y evaluación

9.1.1 Generalidades

La empresa tiene que establecer:

  • A qué es necesario hacer seguimiento y qué es necesario medir.
  • Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar resultados válidos.
  • Cuando se deberían llevar a cabo el seguimiento y la medición.
  • Cuando se deberían analizar y evaluar los resultados del seguimiento y la medición.

 

La empresa tiene que conservar toda la información documentada adecuada como evidencia de los resultados.

La empresa tiene que realizar una evaluación del desempeño de compliance y la eficacia del sistema de gestión de compliance.

 

9.1.2  Seguimiento

Se tiene que hacer seguimiento del sistema de gestión de compliance para asegurar que se consigue el desempeño de compliance. Se tiene que establecer un plan de seguimiento de forma continua, definiendo los procesos, los programas y los recursos.

El seguimiento de compliance es el proceso de compilar información con el objetivo de evaluar la eficiencia del sistema de gestión de compliance y el desempeño de compliance de la empresa.

El seguimiento del sistema de gestión de compliance incluye:

  • Eficacia de la formación.
  • Eficacia de los controles.
  • Asignación eficaz de responsabilidades para cumplir con las obligaciones de compliance.
  • Actualización de las obligaciones de compliance.
  • Eficacia en la gestión de fallos de compliance previamente identificados.
  • Casos en los que no se llevan a cabo según lo previsto inspecciones internas de compliance.

 

El seguimiento del desempeño de compliance incluye:

  • Incumplimientos y conatos.
  • Casos en los que no se cumplen las obligaciones de compliance.
  • Casos en los que no se alcanzan los objetivos.
  • Estado de la cultura de compliance.
  • Indicadores predictivos y reactivos establecidos en 9.1.6.

 

9.1.3 Fuentes de opinión sobre el desempeño de compliance

La empresa tiene que establecer, implantar, evaluar y mantener los procedimientos para buscar y recibir opiniones de su desempeño de compliance de una serie de fuentes, incluyendo:

  • Empleados.
  • Clientes.
  • Proveedores.
  • Reguladores.
  • Registros de control de procesos y registros de actividad.

Las opiniones deben servir como una fuente clave de mejora continua del sistema de gestión de compliance.

 

9.1.4 Métodos de recogida de información

Existen diferentes métodos para recoger la información. Cada método es relevante en diferentes circunstancias y se tiene que relacionar con el cuidado de las herramientas que se utilicen según el tamaño, la naturaleza y la complejidad de la empresa.

 

9.1.5 Análisis y clasificación de la información

Es necesario realizar una clasificación y gestión eficaz de la información.

Se debería llevar a cabo un sistema para clasificar, almacenar y recuperar la información.

Los sistemas de gestión de la información tienen que capturar tanto los problemas como las reclamaciones y permitir su clasificación y análisis de los que estén relacionado con el compliance.

Una vez que la información ha sido recogida, es necesario analizarse y evaluarse de forma crítica para identificar el origen y las acciones adecuadas que es necesario tomar. El análisis debe considerar los problemas sistémicos y recurrentes para proceder a sus corrección o mejora ya que es probable que conlleven riesgos de compliance significativos para la empresa y puede ser más difíciles de identificar.

 

9.1.6 Desarrollo de indicadores

Es muy importante que las empresas lleven a cabo conjuntos de indicadores medibles que ayuden a la empresa a medir el logro de sus objetivos y a cuantificar su desempeño de compliance. Este proceso debería tener en cuenta los resultados de la apreciación de los riesgos de compliance para asegurar que los indicadores se encuentran relacionados con las principales características de los riesgos de compliance de la empresa. La cuestión de qué y cómo medir el desempeño de compliance puede ser complejo en ocasiones, pero sin embargo es un factor vital para demostrar la eficacia de los sistemas de gestión de compliance. Además, los indicadores necesarios variarán a medida que la empresa madure, así como el ritmo y alcance de los programas nuevos y revisados que se implementen.

 

9.1.7 Informes de compliance

El órgano de gobierno, la dirección y la función de compliance debe asegurarse de estar correcta y además, estar puntualmente informados sobre el desempeño del sistema de gestión de compliance de la empresa y de su adecuación continua, incluyendo todos los incumplimientos relevantes, y promoviendo de forma activa el principio de que la empresa anima y apoya una cultura de información completa y franca. La disposición relativa a la información interna debe asegura que:

  • Se establecen criterios adecuados y obligaciones de información.
  • Se establecen programas para la presentación periódica de informes.
  • Sistema de informes de excepciones que facilita información sobre el incumplimiento.
  • Existen sistemas y procesos que asegura la exactitud y completitud de los informes.
  • Se facilita una información exacta y completa a las funciones o áreas de la empresa apropiadas, para permitir que se adopten acciones preventivas, correctivas y remediadores.
  • Proceso de firmas que confirmen la exactitud de los informes que se remiten al órgano de gobierno, incluyendo la firma de la función de compliance.

 

Una empresa debe elegir un formato, contenido y periodicidad de sus informes internos de compliance que sean adecuados a las circunstancias, a no ser que existe alguna especificidad legal en otro sentido.

Los informes de compliance deberían incorporarse en los informes normales de la empresa.

Sólo se debe preparar informes separados en caso de que existieran incumplimientos graves y para cuestiones emergentes.

Los incumplimientos deben ser informados de forma adecuada. Los informes de problemas sistémicos y recurrentes son particularmente importantes, un incumplimiento puntual puede ser igualmente preocupante si es grave o deliberado. Incluso un fallo pequeño puede indicar una gran debilidad en los procesos existentes y en el sistema de gestión de compliance. Si no se informa sobre él puntualmente, puede llevar a pensar que el fallo no importa y que puede dar lugar a que dicho fallo se convierta en un problema.

Las obligaciones de informar deberían establecerse de forma clara en la política y procedimientos de compliance de la organización y reforzarse por otros métodos, tales como refuerzos informales de la dirección durante su trabajo del día a día con los empleados.

 

9.1.8 Contenido de los informes de compliance

Los informes de compliance se pueden incluir:

  • Cualquier materia sobre la que la empresa deba notificar a cualquier regulador o autoridad.
  • Cambios en las obligaciones de compliance, en su impacto en la empresa y las propuestas para cumplir con las nuevas obligaciones.
  • Medidas de desempeño de compliance, incluyendo los incumplimientos y la mejora continua.
  • Número y detalles de posibles incumplimientos y su análisis subsiguiente
  • Acciones correctivas adoptadas.
  • Información sobre la eficacia del sistema de gestión de compliance, sus logros y tendencias.
  • Contactos, y desarrollo de las relaciones, con los reguladores.
  • Resultados de las auditorías, así como de las actividades de seguimiento.

 

La política de compliance debe fomentar el informe inmediato de cuestiones significativas que surjan fuera de los periodos previstos para el informe periódico.

 

9.1.9 Mantenimiento de registros

Se tiene que mantener registros exactos y actualizado en las actividades de compliance de la empresa con objetivo de ayudar en los procesos de seguimiento y revisión y para demostrar la conformidad con el sistema de gestión de compliance.

El mantenimiento de registro debería incluir el registro y clasificación de las reclamaciones, los conflictos y los presuntos incumplimientos y los pasos dados para resolverlos.

Los registros deberán almacenarse de forma que se asegure que permanecen legibles, fácilmente identificables y recuperables.

Los registros deben protegerse contra cualquier adición, borrado, modificación, utilización no autorizada u ocultación. Los registros del sistema de gestión de compliance de la empresa deben incluir:

  • Información sobre el desempeño de compliance, incluyendo los informes de compliance.
  • Reclamaciones, su resolución y comunicaciones de las partes interesadas.
  • Detalles de los incumplimientos y acciones correctivas y preventivas.
  • Resultados de los seguimientos y de las auditorías de los sistemas de gestión de compliance y las acciones adoptadas.

 

9.2 Auditoría interna

La empresa debería realizar una auditoría interna en intervalos de tiempo planificados, para proporcionar información sobre si el sistema de gestión de compliance:

Cumple los requisitos propios de la organización para su sistema de gestión de compliance, los requisitos de esta norma internacional y se implementa y mantiene eficazmente.

Se pueden realizar auditorías adicionales en caso de que sea necesario. La organización debería:

  • Planificar, establecer, implementar y mantener uno o varios programas de auditoría que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación, y la elaboración de informes. Los programas de auditoría deberían tener en cuenta la importancia de los procesos involucrados y los resultados de las auditorías previas.
  • Para cada auditoría, definir los criterios y el alcance.
  • Seleccionar los auditores y llevar a cabo auditorías para asegurarse de la objetividad y la imparcialidad del proceso de auditoría.
  • Ratificar que los resultados de las auditorías se informan a la dirección pertinente
  • Conservar información documentada como evidencia de la implementación del programa de auditoría y de los resultados de ésta.

 

9.3 Revisión por la dirección

La alta dirección debería revisar el sistema de gestión de compliance de la empresa a intervalos planificados, para avalar su idoneidad, adecuación y eficacia continuas.

La revisión por la dirección debe considerar:

  • el estado de las acciones desde anteriores revisiones por la dirección.
  • la adecuación de la política de compliance.
  • el grado en el que se han cumplido los objetivos de compliance.
  • la adecuación de los recursos.
  • los cambios en las cuestiones externas e internas que sean pertinentes al sistema de gestión de compliance.
  • la información sobre el desempeño de compliance, incluidas las tendencias relativas a no conformidades, acciones correctivas y tiempos para su resolución, seguimiento y resultados de las mediciones, comunicación de las partes interesadas, incluyendo las reclamaciones y resultados de la auditoría.
  • Las oportunidades de mejora continua.

 

Las salidas de la revisión por la dirección deben incluir las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de gestión de compliance.

Se deberán incluir recomendaciones sobre:

  • La necesidad de cambios en la política de compliance y en sus objetivos, sistemas, estructura y personal asociados.
  • Cambios de los procesos de compliance para asegurar una integración eficaz con las prácticas operacionales y sistemas.
  • Áreas sobre las que hacer seguimiento de incumplimientos futuros potenciales;
  • Acciones correctivas respecto a los incumplimientos.
  • Lagunas o carencias en los sistemas de compliance existentes e iniciativas de mejora continua a más largo plazo.
  • Reconocimiento de un comportamiento de compliance ejemplar dentro de la organización.

 

La empresa tiene que conservar la información documentada como evidencia de los resultados de las revisiones por la dirección y se debe entregar una copia al órgano de gobierno.

La organización debería conservar información documentada como evidencia de los resultados de las revisiones por la dirección y se debería entregar una copia al órgano de gobierno.

Volver arriba