Objetivos de compliance penal en la Norma UNE 19601 y como venimos afirmando, es también valido para la norma ISO 37001. En esta parte de la normas, nos piden que fijemos todos los años una serie de objetivos de nuestro sistema de gestión de riesgos penales. Es tan fácilmente como plasmarlos en una herramienta que hayamos comprado o en un documento word, que también puede valer.
Es un documento tienen que ser publicados de forma pública pues y tiene que ser aprobado por este órgano y ser informado a los otros órganos del sistema, esto es, órgano de gobierno y alta direccion.
La mayor dificultad que veo en esta sección de las normas UNE o ISO, es la forma en la que se proponen; debemos de guardar las siguientes recomendaciones:
1.- Los objetivos no pueden ser nunca un requerimiento de la norma. Por ejemplo: Un objetivo no puede ser dar formación… ya que es un punto que te exige la norma. En cambio sí que puede ser un objetivo mejorar esa formacion, por ejemplo si antes se daba online, pues por ejemplo hacerla presencial.
2.- Cumplir con los requisitos que pide la norma que son los siguientes:
- Debe de tener un responsable o responsables
- Recursos que se necesitan, de tiempo, económico, de personas, tecnológicos etc..
- Plazo previstos para alcanzarlos.
- criterios de evaluación de los resultados
En muchas ocasiones el principal problema es a la hora de formular los objetivos; los problemas que se enfrentan las organizaciones son de esta Indole:
a) Qué objetivos se plantean año tras año para mejorar el sistema y sin que sea un cambio a nivel empresarial de tal envergadura que o no pueda realizarse, por ejemplo, implantar un nuevo control para reducir la probabilidad del delito de estafa, puede dar lugar a la compra de una herramienta informática para aprobar las compras de la compañía cuyo coste sea de 6.000 euros, coste que por ejemplo no se puede asumir; o simplemente redactar un procedimiento que quizás la organización no tenga personal suficiente para revisar todo el procedimiento.
b) la forma en que se proponen; quizás es una lucha eterna con los Auditores, porque en el mismo ejemplo que hemos puesto de forma anterior, el objetivo en sí no es la compra de la herramienta informatica para hacer las compras de la empresa, sino el objetivo es reducir un 50% la posibilidad de cometer un delito de estafa, que lo llevo a cabo con la compra de dicha herramienta. objetivo que puede tener un responsable, se necesitan recursos económicos, podemos tener un plazo previsto para realizarlos y tener criterios de evaluación de los resultados.