ISO 37301. 4.- Contexto de la organización

ISO 37301. 4.- Contexto de la organización

4.1 Comprensión de la organización y de su contexto

La empresa tiene que establecer todas las cuestiones externas e internas que se consideren relevantes para conseguir su propósito y que afecten a su capacidad para conseguir los resultados previstos de su Sistema de Gestión de Cumplimiento.
Para conseguir esto, la empresa tiene que tener en consideración una amplia gama de temas, en los que se incluyen, entre otros:

  • El modelo de negocio, incluyendo la estrategia, la naturaleza, el tamaño, la escala, la complejidad y la sostenibilidad de las actividades y operaciones de la empresa.
  • La naturaleza y el alcance de las relaciones comerciales con terceros.
  • El contexto regulatorio y legal.
  • La situación económica.
  • El contexto social, cultural y ambiental.
  • Conocer las estructuras, políticas, procesos, procedimientos y recursos internos, incluyendo la tecnología.
  • La cultura de cumplimiento.

 

4.2 Compresión de las necesidades y expectativas de las partes interesadas

Las empresas tienen que establecer:

  • Las partes interesadas que son relevantes para el Sistema de Gestión del Cumplimiento.
  • Los requisitos necesarios para las partes interesadas.
  • Conocer los requisitos que se deben abordar mediante el Sistema de Gestión del Cumplimiento.

 

4.3 Determinar el alcance del sistema de gestión de compliance

La empresa deberá establecer los límites y la aplicabilidad para establecer el alcance del Sistema de Gestión de Cumplimiento.

 

4.4 Sistema de gestión de cumplimiento

Las empresas deberán establecer, implantar, mantener y mejorar de forma continua un Sistema de Gestión de Cumplimiento, incluyendo los procesos necesarios y todas sus interacciones, según los requisitos del documento.

El Sistema de Gestión del Cumplimiento tiene que reflejar los valores, objetivos, estrategias y riesgos de cumplimiento, tendiendo en cuenta el contexto de la empresa.

 

4.5 Obligaciones de Cumplimiento

La empresa tiene que identificar de forma sistemática las obligaciones de cumplimiento resultantes de sus actividades, productos y servicios, y realizar una evaluación del impacto en sus operaciones.

La empresa debe contar con procesos establecidos para:

  • Identificar obligaciones de cumplimiento nuevas y modificadas con las que garantizar el cumplimiento de forma continua.
  • Evaluar el impacto de los cambios identificados e implantar cualquier cambio que sea necesario en cuanto a la gestión de las obligaciones de cumplimiento.

La empresa deberá mantener la información documentada de sus obligaciones de cumplimiento.

 

4.6 Evaluación del riesgo de cumplimiento

La empresa deberá identificar, analizar y evaluar los riesgos de cumplimiento en base a los riesgos de cumplimiento.

La empresa tiene que identificar todos los riesgos de cumplimiento que se relacionan con sus obligaciones de cumplimiento con sus actividad, productos, servicios y aspectos relevantes en cuanto a sus operaciones.

La empresa tiene que realizar una evaluación de riesgos de cumplimiento que se encuentran relacionados con los procesos subcontratados y de terceros.

Los riesgos de cumplimiento se evaluarán de forma periódica y siempre que haya cambios materiales en circunstancias o contexto organizacional.

La empresa tiene que conservar información documentada sobre la evaluación de riesgos de cumplimiento y sobre las acciones necesarias para abordar los riesgos de cumplimiento.