En este punto de la norma, concretamente el punto 9 de la misma, hay que cumplir con una serie de requisitos que se nos exige, y cuyo objetivo es informar a órganos superiores, monitorizar el sistema ( ahora explicaremos que significa) y sobre todo Auditar el sistema.
Por tanto de forma muy esquemática y para entender esta fase de la norma UNE 19601, se divide en:
1.- Sobre qué tenemos que hacer seguimiento y cómo lo vamos a llevar a cabo: Ejemplos que pone la norma para hacer seguimiento es:
- La eficacia de la formación.
- Eficacia de los controles.
- Asignación eficaz de responsabilidades para cumplir con las obligaciones de compliance penal.
- Eficacia en la gestión de deficiencias en los controles de compliance penal previamente identificados.
- Casos en los que no se lleva a cabo, según lo previsto inspecciones internas derivadas del sistemas de gestión de compliance penal.
2. Solicitar y recabar informes compliance penal: Igualmente en esta parte de la norma tenemos que implementar y mantener actualizados procedimientos para solicitar y recabar opiniones del desempeño de nuestro sistema de gestión de compliance penal recurriendo a distintas fuentes. Las opiniones deben de servir como fuente clave de mejora continua tanto de la política de compliance penal como del resto del sistema de gestión de compliance penal. Esto por ejemplo lo vemos mucho cuando nos llama alguna operadora de telefonía que nos dejan con una encuesta de calidad del servicio; en este caso quizás podríamos utilizar alguna remesa de llamadas a clientes o partes interesadas o trabajadores para poder pasarles unas encuestas para llevar a cabo estas opines del desempeño en compliance penal
La información debe de provenir:
- Del personal
- Los clientes
- Los proveedores
- Los reguladores
- Los registros de control de procesos
3. informes compliance penal
El órgano de gobierno, la alta dirección y el oragno de compliance, deben de tomar medidas para estar de forma correcta y puntualmente informadas del sistema de gestión de riesgos penales.
El contenido de los informes de compliance son:
- Cualquier materia relacinada con riesgos penales sobre los que la organización haya sido requerida por cualquier regulador o autoridad a la judicial
- Cambios en las obligaciones de compliance penal en su impacto con la organización y las propuestas para cumplir con las nuevas obligaciones
- Mediciones del desempeño de compliance penal incluyendo las no conformidades y la mejora contina
- Número y detalle de posibles no conformidades y su análisis subsiguiente.
- Acciones correctivas adoptadas
- Información sobre la eficacia del sistema de gestión de compliance penalsus logros y sustendencias
- Contactos y desarrollo de las relaciones con reguladores
Cada organización debe de seleccionar el método de recogida de información considerando relevante, según las circunstancias, como por ejemplo:
- Informes de ad hoc de no conformidades cuando aparecen o son identificados
- Información obtenida en líneas directas, reclamaciones y otras fuentes incluendo el canal de denuncias
- Discusiones informales, talleres de trabajo y grupos temáticos
- Pruebas integrales y por muestreo
- Resultados de encuestas por percepción
- Observacones directas, entreviastas formales, visitas a instalaciones e inspecciones
- Auditorias y revisones
- Consultas a partes interesadas, peticiones de formación y opiones recogidas durante la formación especial del personal.
3.-Monitorizar el sistema, desarrollo de indicadores.
La norma indica una serie de ejemplos de indicadores para medir para conocer el estado del sistema de compliance penal
Los ejempos son:
Ejemplo de indicadores respecto de la actividad:
- Porcentaje de personal al que se le ha impartido formación eficaz
- Nivel de utilización de mecanismos para obtener opiniones
- Número y tipos de acciones correctivas que se tomaron en relación a cada no conformidad
Ejemplo de indicadores: Para comprenderlo mejor lo explicaremos con un ejemplo:
4.- Auditoria interna de compliance penal.
Por último tenemos que preparar la Auditoría interna del sistema; es un requisito obligatorio antes de que vengan los auditores externos, y que puede ser realizada por la misma empresa que se va a certificar si tiene personal capacitado para certificarse, o por la propia consultora que está asesorando o implantando el sistema.
Dejo un ejemplo de un modelo de auditoria interna realizado por mi de una parte de la norma.
| 4. CONTEXTO DE LA ORGANIZACIÓN | ||
| Requisito Une 19601 y o ISO 37001 | Comprobación realizada | Resultado (NC/OBS/ /OK) |
| 4.1 Comprensión de la organización y de su contexto
|
Se analizan conjuntamente norma UNE 19601 y UNE-ISO37001
La entidad tiene definido su contexto y organización en el documento especifico realizado a tal efecto denominado “Alcance, contexto, partes interesadas riesgos y oportunidades” La organización define la periodicidad y cómo va a realizar y dejar constancia de la revisión periódica de su Alcance, contexto y partes interesadas. Se llevará a cabo cada año en el mes de Marzo; lo lleva a cabo en el informe de revisión por dirección Este documento no se encuentra aprobado formalmente por la dirección a fecha de la auditoria interna. |
OK
OK
OBS
|
| 4.2 Entendimiento de las necesidades y expectativas de las partes interesadas
|
Se analizan conjuntamente norma UNE 19601 y UNE-ISO37001
La entidad tiene definida las partes interesadas en el documento creado a tal efecto “Alcance, contexto, partes interesadas riesgos y oportunidades” Se encuentran definidas las expectativas de las partes interesadas así como sus necesidades. La entidad define donde va a dejar constancia de la revisión periódica que se realice de las partes interesadas y de sus necesidades y expectativas, lo lleva a cabo en el informe revisión por dirección El documento a fecha de auditoria no se encuentra formalmente aprobado. |
Ok
Ok
OK
OBS |
Y así hasta pasar por todas las fases de Auditoría interna de la norma
Si necesita presupuesto sobre Auditoría Interna UNE 19601, o ISO 37001, contacto en el formulario o llámeme al 679019045.