ISO 37001 8. Operación

ISO 37001. 8.- Operación

8.1 Planificación y control operacional

La organización debe planificar, implementar, controlar y revisar los procesos necesarios para cumplir los requisitos del sistema de gestión antisoborno y para ejecutar las acciones definidas en 6.1.

Esto debe lograrse mediante:

  • el establecimiento de criterios para los procesos;

  • la implementación de controles sobre los procesos de acuerdo con los criterios definidos;

  • el mantenimiento de información documentada suficiente que proporcione evidencia de que los procesos se han realizado según lo planificado.

La organización debe:

  • controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, adoptando medidas para mitigar los efectos adversos cuando sea necesario;

  • asegurar el control adecuado de los procesos o actividades que sean contratados externamente, garantizando su conformidad con los requisitos del sistema de gestión antisoborno.

 

8.2 Debida diligencia

Cuando la evaluación del riesgo de soborno (4.5) haya identificado más que un riesgo bajo de soborno asociado a:

  • determinadas categorías de transacciones, proyectos o actividades;

  • relaciones existentes o planificadas con categorías específicas de socios de negocio;

  • puestos o funciones del personal con exposición significativa;

la organización debe aplicar un proceso de debida diligencia proporcional al nivel de riesgo identificado.

Este proceso debe:

  • evaluar la naturaleza y el alcance del riesgo de soborno asociado a la transacción, proyecto, actividad, socio de negocio o personal correspondiente;

  • considerar los resultados de la evaluación del riesgo y la eficacia de los controles existentes;

  • documentar las conclusiones y acciones derivadas, asegurando su revisión periódica.

 

8.3 Controles financieros

La organización debe establecer y mantener controles financieros apropiados para gestionar los riesgos de soborno, asegurando que:

  • los pagos y desembolsos estén debidamente aprobados y registrados;

  • existan niveles de autorización y segregación de funciones adecuados;

  • todas las transacciones financieras sean verificables, legítimas y transparentes;

  • los registros contables reflejen con exactitud la naturaleza y finalidad de cada operación;

  • se prevengan pagos no autorizados, falsos gastos o fondos no declarados.

 

8.4 Controles no financieros

La organización debe implementar controles no financieros destinados a gestionar los riesgos de soborno en los procesos operativos, administrativos y de soporte, por ejemplo:

  • procesos de contratación, compras, ventas, licitaciones, obsequios, donaciones, hospitalidad, patrocinios o relaciones públicas;

  • procesos de selección, promoción y remuneración de personal;

  • procesos de auditoría, cumplimiento y control interno.

Estos controles deben diseñarse para ser efectivos, verificables y proporcionados al nivel de riesgo.

 

8.5 Implementación de los controles antisoborno por organizaciones controladas y por socios de negocios

8.5.1 Organizaciones controladas

La organización debe establecer procedimientos que aseguren que todas las entidades sobre las que ejerce control:

  • implementen el sistema de gestión antisoborno de la organización matriz, o

  • implementen un sistema propio que cumpla con los requisitos equivalentes de la norma ISO 37001.

 

8.5.2 Socios de negocio no controlados

Respecto a los socios de negocio no controlados que representen más que un riesgo bajo de soborno, y cuando los controles antisoborno de dichos socios contribuyan a mitigar los riesgos identificados, la organización debe:

  • determinar si el socio de negocio dispone de controles antisoborno adecuados y eficaces;

  • cuando no existan controles suficientes o su existencia no pueda verificarse, solicitar al socio de negocio la implementación de controles antisoborno específicos antes de la relación contractual o transaccional;

  • mantener registros documentados de las acciones y resultados de estas evaluaciones.

 

8.6 Compromisos antisobornos

La organización debe implementar procedimientos que exijan, en la medida de lo posible, que los socios de negocio con más que un riesgo bajo de soborno:

  • asuman compromisos formales para prevenir, detectar y abordar el soborno;

  • acepten contractualmente que la organización podrá suspender o finalizar la relación en caso de soborno, real o presunto, cometido por ellos o en su beneficio;

  • cooperan activamente en las investigaciones relacionadas con el soborno.

Estos compromisos pueden formalizarse mediante cláusulas contractuales, códigos de conducta o declaraciones de integridad.

 

8.7 Regalos, hospitalidad, donaciones y beneficios similares

La organización debe establecer procedimientos para prevenir la oferta, el suministro, la solicitud o la aceptación de regalos, hospitalidad, donaciones o beneficios similares, cuando:

  • constituyan o puedan ser percibidos razonablemente como soborno; o

  • influencien indebidamente decisiones o relaciones comerciales.

Los procedimientos deben:

  • definir criterios claros de aprobación, valor y frecuencia;

  • requerir registro y autorización previa cuando los valores excedan los límites establecidos;

  • prohibir cualquier forma de beneficio encubierto o irregular.

 

8.8 Gestión de controles antisoborno inadecuados

Cuando la debida diligencia determine que los riesgos de soborno no pueden gestionarse adecuadamente con los controles existentes y la organización no pueda o no desee implementar controles adicionales o medidas eficaces, esta debe:

a) en el caso de relaciones, transacciones o actividades existentes, adoptar medidas adecuadas según la naturaleza y gravedad del riesgo, que pueden incluir suspender, limitar o terminar la relación;

b) en el caso de nuevas propuestas, posponer o rechazar la transacción, proyecto o relación.

Todas las decisiones deben estar documentadas y justificadas.

 

8.9 Planteamiento de inquietudes (mecanismo de denuncia)

La organización debe implementar procedimientos que:

  • fomenten y faciliten que el personal y las partes interesadas informen sobre intentos, sospechas o hechos de soborno, o sobre debilidades del sistema;

  • garanticen la confidencialidad de los reportes, salvo cuando la divulgación sea necesaria para fines de investigación;

  • permitan denuncias anónimas, cuando sea compatible con la legislación aplicable;

  • prohíban represalias y aseguren la protección de los denunciantes;

  • faciliten asesoramiento confidencial al personal que enfrente dilemas o sospechas de soborno;

  • promuevan la confianza y accesibilidad del mecanismo de denuncia.

La organización debe asegurar que todo el personal esté informado de estos procedimientos, sepa cómo utilizarlos y conozca sus derechos y protecciones asociadas.

 

8.10 Investigar y tratamiento del soborno

La organización debe establecer procedimientos para:

  • evaluar e investigar cualquier denuncia o sospecha de soborno, incumplimiento de la política antisoborno o del sistema de gestión;

  • definir responsabilidades y autoridad para la conducción de investigaciones imparciales;

  • tomar medidas apropiadas cuando las investigaciones confirmen actos de soborno o incumplimientos, incluyendo acciones disciplinarias o contractuales;

  • garantizar la independencia de los investigadores respecto a las funciones investigadas;

  • requerir la cooperación del personal pertinente;

  • reportar los resultados a la función de cumplimiento antisoborno, al órgano de gobierno y, según corresponda, a otras funciones de cumplimiento;

  • mantener la confidencialidad de los procesos y resultados.

Las investigaciones deben ser realizadas por personal competente, independiente y autorizado, o por terceros especializados designados por la organización.

Los resultados deben utilizarse para mejorar el sistema de gestión antisoborno y prevenir reincidencias.

 

Volver arriba