ISO 37001. 8.- Operación
8.1 Planificación y control operacional
La empresa debe planificar, implantar, revisar y controlar los procesos necesarios para cumplir los requisitos del sistema de gestión antisoborno, así como para implementar las acciones determinadas en 6.1, mediante:
- El establecimiento de criterios para los procesos
- La implementación del control de los procesos de acuerdo con los criterios
- Manteniendo información documentada en la medida necesaria para confiar en que los procesos se han llevado a cabo según lo planificado
La empresa debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, tomando acciones para mitigar cualquier efecto adverso, según sea necesario.
La empresa debe asegurarse de que los procesos contratados externamente estén controlados.
8.2 Debida diligencia
Cuando la evaluación del riesgo de soborno de la empresa llevada a cabo en 4.5, ha evaluado más que un riesgo bajo de soborno en relación con:
- Determinadas categorías de transacciones, proyectos o actividades
- Las relaciones existentes o planificadas con determinadas categorías de socios de negocios
- Categorías específicas del personal en determinadas posiciones
La empresa debe evaluar la naturaleza y el alcance del riesgo de soborno en relación con transacciones, proyectos, actividades, socios de negocios y el personal, pertenecientes a estas categorías específicas.
8.3 Controles financieros
La empresa debe implantar controles financieros que gestionen el riesgo de soborno.
8.4 Controles no financieros
La empresa debe implantar controles no financieros para gestionar el riesgo de soborno en diferentes departamentos.
8.5 Implementación de los controles antisoborno por organizaciones controladas y por socios de negocios
8.5.1 La empresa debe implantar procedimientos que requieran que todas las demás organizaciones sobre las que tiene control:
- Implementen el sistema de gestión antisoborno de la empresa
- Implementen sus propios controles antisoborno
8.5.2 En relación con los socios de negocios no controlados por la empresa para los que la evaluación del riesgo de soborno o la debida diligencia han identificado más que un riesgo bajo de soborno, y donde los controles antisoborno implementados por los socios de negocios ayudarían a mitigar el riesgo de soborno relevante, la empresa debe implantar procedimientos de la siguiente manera:
- La empresa debe determinar si el socio de negocios tiene implementados controles antisoborno que gestionan el riesgo relevante de soborno
- Donde un socio de negocios no tiene en marcha controles antisoborno, o no es posible verificar si los tiene implementados donde sea posible, la empresa debe exigir al socio de negocios la implementación de controles antisoborno en relación con la transacción, proyecto o actividad
8.6 Compromisos antisobornos
Para socios de negocios que representan más que un riesgo bajo de soborno, la empresa debe implantar procedimientos que exijan, en la medida de lo posible, que:
- Los socios de negocios se comprometan a prevenir el soborno
- La empresa sea capaz de poner fin a la relación con el socio de negocios en el caso de soborno por parte de o en beneficio del socio de negocios
8.7 Regalos, hospitalidad, donaciones y beneficios similares
La empresa debe implantar procedimientos que estén diseñados para prevenir la oferta, el suministro o la aceptación de regalos, hospitalidad, donaciones y beneficios similares, en los que la oferta, el suministro o la aceptación son o razonablemente podrían percibirse como soborno.
8.8 Gestión de los controles antisoborno inadecuados
Cuando la debida diligencia realizada en una transacción, proyecto, actividad o relación específica, con un socio de negocios, establece que los riesgos de soborno no pueden ser gestionados por los controles antisoborno existentes, y la empresa no puede o no desea implantar controles antisoborno, mejores, adicionales o tomar otras medidas adecuadas para permitir a la empresa gestionar los riesgos de soborno pertinentes, la empresa debe:
- En el caso de una transacción, proyecto, actividad o relación existente, adoptar las medidas adecuadas a los riesgos de soborno y la naturaleza de la transacción, proyecto, actividad o relación para terminar, interrumpir, suspender o retirarse de esto tan pronto como sea posible
- En el caso de una nueva propuesta de transacción, proyecto, actividad o relación, posponer o negarse a continuar con ella
8.9 Planteamiento de inquietudes
La empresa debe implantar procedimientos, para:
- Fomentar y facilitar que las personas reporten el intento de soborno, supuesto o real, o cualquier violación o debilidad en el sistema de gestión antisoborno
- Salvo en la medida requerida para el avance de una investigación, solicitar que la empresa trate los informes de forma confidencial con el fin de proteger la identidad del informante y otras personas que participen o a las que se haga referencia en el informe
- Permitir la denuncia anónima
- Prohibir represalias, y proteger a los que realicen el reporte de represalias
- Permitir que el personal reciba el asesoramiento de una persona apropiada sobre qué hacer si se enfrentan a un problema o situación que podría involucrar el soborno
La empresa debe asegurarse de que todo el personal esté al tanto de los procedimientos de reporte, y que sean capaces de utilizarlos, y tomen conciencia de sus derechos y protecciones de conformidad con los procedimientos.
8.10 Investigar y abordar el soborno
La empresa debe implantar procedimientos para:
- Requerir una evaluación y la investigación de cualquier soborno o el incumplimiento de la política de antisoborno o el sistema de gestión antisoborno
- Requerir medidas apropiadas en caso de que la investigación revele algún soborno, o el incumplimiento de la política antisoborno o del sistema de gestión antisoborno
- Empoderar y facilitar a los investigadores
- Requerir la cooperación en la investigación del personal pertinente
- Requerir que el estado y los resultados de la investigación sean reportados a la función de cumplimiento antisoborno y a otras funciones de cumplimiento, según corresponda
- Requerir que la investigación se lleve a cabo de forma confidencial y que los resultados sean confidenciales.
La investigación debe ser llevada a cabo en forma confidencial y reportada por el personal que no forma parte del rol o función que está siendo investigado. La empresa puede nombrar a un socio de negocios para llevar a cabo la investigación e informar de los resultados a los miembros del personal que no formen parte del papel rol o función que están siendo investigados.