la norma iso 19600:2015 - compliance- · compliance (empleados, clientes, proveedores, reguladores,...
TRANSCRIPT
La norma ISO 19600:2015
- COMPLIANCE-
Bilbao 11 de Noviembre del 2016
•Presentacion IMQ
• Antecedentes – ISO 19600
•Conceptos de la ISO 19600
•Proceso de certificación
Indice
Gruppo IMQ IMQ (Istituto Italiano del Marchio di Qualità) se
fundó en 1951 en Milán (Italia) y tiene como
objeto social la Certificación de Productos y de
Sistemas de Gestión. En materia de certificación
de productos, es especialista en certificación de
normativas y marcado CE, CCC, CSA, GOST, GS,
ENEC, KTW y certificados HAR, así como en todo
tipo de pruebas de laboratorio (pruebas de
compatibilidad electromagnética, producto
médico, etc.…) en todo tipo de ámbitos y
sectores.
Gruppo IMQ En materia de certificación de sistemas, IMQ, de
igual modo se encuentra acreditado para emitir
certificados de:
* Calidad (ISO 9001:2008).
* Medio Ambiente ( ISO 14001: 2004).
* Seguridad y Salud Laboral (OHSAS 18001:2007).
* Sistemas de Calidad en el sector médico-
sanitario (ISO 13485).
* Seguridad de la Información (ISO 27001:2005).
* Sistemas de Gestión de la Información (ISO
20000:2006).
* Sistemas de Continuidad de Negocio (BS
25999).
* Sistemas de Calidad en el sector de la
alimentación (ISO 22000 / IFS / BRC).
* Certificación Forestal (FSC / PEFC).
IMQ
Electrical Products IMQ-UNICIG
Gas Products
IMQ
Security Systems
IMQ
Performance Mark
IMQ Quality Mark EMC
International “emc- Mark”
HAR European Mark
for Cables
ENEC European Mark
for Household appliances, Lighting,
ICT, Components
IMQ-EMC
EMC European Mark
CE marking
0051
IMQ Certificate with surveillance
IMQ
GS Safety mark
Web Sites
Certification
International Certification
Mark
QMS Autom.
ISO-TS 16949
QMS Medical
ISO 13485
HACCP
UNI 10854
FMS Food
ISO 22000
Other sectorial
standards:
UNI 13416
ISO 22716
ISO 20121
ISO 22301
Business
Continuity
ISO 20000
IT Service
Management
QMS
ISO 9001
EMS
ISO 14001
ISMS
ISO 27001 OH&S
OHSAS 18001 SA 8000 /
IQNet RS10
EnMS
ISO 50001
International Railway
Industry Standard
IMQ
- ANTECEDENTES
- ¿QUÉ ES LA ISO 19600?
Es una potente herramienta para detectar y gestionar los riesgos por
posibles incumplimientos de sus obligaciones.
Norma internacional que establece un referente de buenas prácticas
en materia de gestión de compliance, más allá de fronteras, culturas y jurisdicciones.
La norma ISO 19600 se dirige a las organizaciones que quieran
implantar un sistema de gestión que les permita demostrar su
compromiso con los requisitos legales que le son de aplicación y con
aquellos otros requisitos con los que voluntariamente ha decidido
comprometerse.
ISO 19600:2015
- ANTECEDENTES
- ¿QUÉ ES LA ISO 19600?
Se puede implantar a todo tipo de organizaciones.
Cada implantación será diferente ya que cada alcance será
diferente en base a las diferentes naturalezas de cada organización.
La ISO 19600 recoge directrices para implantar, mantener y mejorar un sistema de gestión de compliance.
La norma tiene 10 puntos pero son de aplicación de implantación del
punto 4 al punto 10.
ISO 19600:2015
ISO 19600:2015
PASO 1
Determinación del alcance y del Sistema de Gestión compliance
(4.3/4.4)
4.3 – Determinación del alcance del Sistema de Gestión Compliance
Hay que identificar un alcance (actividad posteriormente a certificar)
que identifique límites geográficos y organizativos. Importante
identificar sobre todos para aquellas organizaciones que forman parte
de una organización más amplia en una zona determinada.
ISO 19600:2015
PASO 1
Determinación del alcance y del Sistema de Gestión compliance
(4.3/4.4)
4.3 – Determinación del alcance del Sistema de Gestión Compliance
Hay que tener en cuenta para esta definición del alcance:
- Cuestiones externas e internas (contexto regulatorio, social y
cultural, la situación económica, políticas internas, procedimientos,
procesos y recursos) (4.1)
- Las partes interesadas y sus requisitos (4.2).
- Identificar los requisitos Compliance de la organización (Requisitos
que una organización tiene que cumplir). (ejemplos: normas legales
,permisos, licencias, autorizaciones, órdenes, reglas, protocolos,
tratados, convenciones,…) (4.5.1).
ISO 19600:2015
PASO 1
Determinación del alcance y del Sistema de Gestión compliance
(4.3/4.4)
4.3 – Determinación del alcance del Sistema de Gestión Compliance
- Identificar compromisos Compliance organización (Requisitos que
una organización elige cumplir). (acuerdos con grupos de su
comunidad, organizaciones gubernamentales, principios
voluntarios, códigos de prácticas, compromisos medioambientales,
normas o estándares relevantes para la organización (4.5.1)
- El alcance debe estar documentado.
ISO 19600:2015
PASO 2
Identificar a las partes interesadas
4.2 – Comprensión de las necesidades de las partes interesas
Identificación de personas u organizaciones.
Identificar sus requisitos Compliance (Requisitos que una organización
tiene que cumplir).
ISO 19600:2015
PASO 3
Identificación de asuntos internos y externos
4.1 – Comprensión de la organización y de su entorno
Identificar el contexto regulatorio, social y cultural, la situación
económica, políticas internas, procedimientos, procesos y recursos.
ISO 19600:2015
PASO 4
Principios de Buen Gobierno
4.4 – Sistema de Gestión de Compliance y principios de Buen
Gobierno
La organización debe establecer, implementar, mantener y mejorar
un Sistema de Gestión de Buen Gobierno.
Identificar los procesos necesarios y sus interacciones.
Principios de Buen Gobierno:
- Acceso directo de la función de Compliance al órgano de
Gobierno (es quién Gobierna la organización, a quién la Alta
Dirección rinde cuentas).
- Independencia de la función Compliance con autoridad suficiente
y recursos adecuados.
ISO 19600:2015
PASO 4
Principios de Buen Gobierno
4.4 – Sistema de Gestión de Compliance y principios de Buen
Gobierno
El Sistema debe presentar:
- Valores
- Objetivos (cuantificables, medibles, coherentes). Pueden ser
financieros, medioambientales, seguridad, salud). Deben ser
acordes y relacionados con la política.
- Estrategia
- Riesgos
ISO 19600:2015
PASO 5
Establecer la Política de Complicance
5.2 – Política de Compliance
La deben establecer el Órgano de Gobierno y la Alta Dirección (si se
consulta con los empleados mejor).
Debe:
- Adecuada al propósito de la organización.
- Marco de referencia para la definición de objetivos
- Identificar cumplimiento con requisitos legales
- Identificar cumplimiento de mejora continua
Debe estar disponible, accesible y comprensible para los empleados.
ISO 19600:2015
PASO 6
Identificar las obligaciones del Compliance y evaluación de los
riesgos del Compliance
4.5 – Obligaciones de Compliance
4.5.1. – Identificación de las obligaciones Compliance
Deben estar documentadas.
Las obligaciones del Compliance se dividen en:
- Requisitos Compliance de la organización (Requisitos que una
organización tiene que cumplir). (ejemplos: normas legales
,permisos, licencias, autorizaciones, órdenes, reglas, protocolos,
tratados, convenciones,…) (4.5.1).
- Compromisos Compliance de la organización (Requisitos que una
organización elige cumplir). (acuerdos con grupos de su
comunidad, organizaciones gubernamentales, principios
voluntarios, códigos de prácticas, compromisos medioambientales,
normas o estándares relevantes para la organización (4.5.1)
ISO 19600:2015
PASO 6
Identificar las obligaciones del Compliance y evaluación de los
riesgos del Compliance
4.5 – Obligaciones de Compliance
4.5.2. – Mantenimiento de las obligaciones Compliance
La organización debe disponer de procesos que identifiquen
novedades y modificaciones en la legislación. Así se asegura el
cumplimiento continuo.
Además, siempre que exista un cambio deberán implantarlo.
ISO 19600:2015
PASO 6
Identificar las obligaciones del Compliance y evaluación de los
riesgos del Compliance
4.6 – Identificación, análisis y evaluación de los riesgos Compliance
La organización debe identificar sus riesgos Compliace relacionando
sus obligaciones Compliance con las actividades, productos, servicios
que suministra y de ahí, identificar situaciones que pueden dar lugar a
incumplimientos.
Se deben identificar:
- Las causas de los incumplimientos Compliance.
- Las fuentes de los incumplimientos Compliance.
- Las consecuencias de sus incumplimientos Compliance (daños
personales, ambientales, perdidas económicas, daño reputacional
y responsabilidades administrativas).
- La gravedad de sus incumplimientos Compliance.
- Probabilidad de que ocurran
ISO 19600:2015
PASO 6
Identificar las obligaciones del Compliance y evaluación de los
riesgos del Compliance
4.6 – Identificación, análisis y evaluación de los riesgos Compliance
- Hay que comparar el nivel de riesgo identificado con el nivel de
riesgo aceptable y en base a los resultados implantar controles.
Los riesgos se deben reevaluar periodicamente (cada vez que existan
cambios en las actividades, nuevos productos, en la organización,
cambios externos financieros, incumplimientos compliance, etc….).
Para este punto las organizaciones se pueden apoyar en la ISO 31000.
ISO 19600:2015
PASO 7
Planificación para abordar los riesgos del Compliance y para alcanzar
los objetivos
6 – Planificación
6.1. – Acciones para tratar riesgos y oportunidades
Se han de planificar las acciones para tratar los riesgos y las
oportunidades y que posteriormente se pueden implantar en el
Sistema Compliance.
La identificación de los riesgos nos dará, en aquellos en los que existan
incumplimientos o su ratio se bajo, los objetivos a definir.
ISO 19600:2015
PASO 7
Planificación para abordar los riesgos del Compliance y para alcanzar
los objetivos
6 – Planificación
6.2- Objetivos de Compliance y planificación para lograrlos
Objetivos (cuantificables, medibles, coherentes). Pueden ser
financieros, medioambientales, seguridad, salud). Deben ser acordes y
relacionados con la política.
Se han de identificar recursos y responsabilidades para conseguir ese
objetivo y metas temporales y meta final temporal.
ISO 19600:2015
PASO 8
Planificación operacional y control de los riesgos compliance
8 – Operación
8.1. – Planificación y control operacional / 8.2 – Establecimiento de
controles y procedimientos
Controlar la acciones propuestas para conseguir los objetivos
marcados y su implementación en el Sistema Compliance.
Se pueden crear procedimientos de control a tal efecto.
8.3 – Procesos externalizados
Los procesos externalizados han de ser contralados.
Debe estar identificado cómo riesgo.
Ha de ser contralado y tener identificado en los contratos con los
contratista cláusulas Compliance.
Homologación de proveedores Compliance.
ISO 19600:2015
PASO 9
Evaluación del desempeño e informes de Compliance
9– Evaluación del desempeño
9.1. – Seguimiento, medición, análisis y evalución
Se ha de realizar un seguimiento para verificar que alcanza el
desempeño Compliance.
Se debe confeccionar un Plan de Seguimiento Continuo identificando:
- Procesos
- Programas
- Recursos
ISO 19600:2015
PASO 9
Evaluación del desempeño e informes de Compliance
9– Evaluación del desempeño
9.1. – Seguimiento, medición, análisis y evalución
Se ha de realizar seguimiento en:
- La formación
- Eficacia de los controles
- Asignación eficaz de responsabilidades
- Actualización de obligaciones Compliance
- Eficacia de la Gestión de fallos Compliance
- Casos en los que no existan inspecciones internas de Compliance
ISO 19600:2015
PASO 9
Evaluación del desempeño e informes de Compliance
9– Evaluación del desempeño
9.1. – Seguimiento, medición, análisis y evaluación
La organización debe implementar, evaluar y mantener
procedimientos para buscar y recibir opiniones de su desempeño
Compliance (empleados, clientes, proveedores, reguladores, etc…).
Métodos de recogida de información múltiples.
La información recogida ha de ser clasificada y almacenada.
Posteriormente la información debe ser analizada y tomar decisiones
ya que seguramente se identifiquen nuevos riesgos a considerar.
ISO 19600:2015
PASO 9
Evaluación del desempeño e informes de Compliance
9– Evaluación del desempeño
9.1. – Seguimiento, medición, análisis y evaluación
Se han de desarrollar indicadores medibles que nos ayuden a medir el
logro de nuestros objetivos marcados (6.2) y cuantificar su desempeño
Compliance.
Los indicadores ha de estar relacionados con los riesgos Compliance
de la organización.
Ejemplo de indicadores:
- Porcentaje de empleados a los que se les ha impartido formación
eficaz
- Frecuencia de contactos con reguladores
- Utilización de mecanismos para obtener opiniones
- Tendencias de incumplimientos
ISO 19600:2015
PASO 9
Evaluación del desempeño e informes de Compliance
9– Evaluación del desempeño
9.1. – Seguimiento, medición, análisis y evaluación
Se han de crear informes Compliance que informe a El Órgano de
Gobierno, a la Dirección y a la función Compliance de la evolución
del Sistema.
Se han de presentar estos informes periódicamente.
Si hay un incumplimiento emergente o grave se crearán informes
extraordinarios.
Estos informes debe de ser detallados; ver contenido en 9.1.8.
Plan de Seguimiento Continuo Informes Compliance
ISO 19600:2015
PASO 9
Evaluación del desempeño e informes de Compliance
9– Evaluación del desempeño
9.2. – Auditoria interna
Se han realizar auditorias internas.
Plan de auditorias.
Definición de equipo auditor
Informe de auditoria
9.3. – Revisión por la Dirección
Informe de Revisión por la Dirección a intervalos planificados.
ISO 19600:2015
PASO 10
Gestión de incumplimientos y Mejora Continua
10 – Mejora
10.1 – No conformidades y acciones correctivas
Registros de No Conformidades y de Acciones Correctivas
10.2. – Mejora Continua
La información recopilada nos ha de servir para que el sistema se
retroalimente y mejore.
ISO 19600:2015
PASO 11
Compromiso de la Dirección, Función de Compliance Independiente,
Responsabilidades de todos los niveles, Funciones de apoyo
5 – Liderazgo
5.1 – Liderazgo y Compromiso
El liderazgo y Compromiso de la Alta Dirección y del Órgano de
Gobierno debe ser activo, involucrandose.
La Política Compliance ha ser firmada por el Órgano de Gobierno.
La Alta Dirección debe hacer ver a todos los empleados que la
organización es Compliance.
Continuas declaraciones Compliance claras.
El Complicance debe tener deber de autoridad.
5.3- Roles, responsabilidades y autoridades en la organización
Identificación del Compliance Officer.
Responsabilidades de los empleados.
ISO 19600:2015
PASO 11
Compromiso de la Dirección, Función de Compliance Independiente,
Responsabilidades de todos los niveles, Funciones de apoyo
7- Apoyo
7.1 – Recursos
Identificación de recursos financieros y humanos para la correcta
implantación del Sistema.
7.2 – Competencia y formación
Formación especifica para el Compliance Officer y el equipo humano
destinado al efecto.
Se ha de evaluar la eficacia de las acciones formativas tomadas.
ISO 19600:2015
PASO 11
Compromiso de la Dirección, Función de Compliance Independiente,
Responsabilidades de todos los niveles, Funciones de apoyo
7.2 – Competencia y formación
A otro nivel tanto el Órgano de Gobierno, la Alta Dirección y los
empleados han de recibir formación en Compliance en base a su
posición (formación a medida en función del puesto de trabajo).
7.3 – Toma de conciencia
Generar comportamientos Compliance y no tolerar comportamientos
No Compliance.
Canal abierto a comunicar incumplimientos.
Crear una Cultura Compliance.
ISO 19600:2015
PASO 11
Compromiso de la Dirección, Función de Compliance Independiente,
Responsabilidades de todos los niveles, Funciones de apoyo
7- Apoyo
7.4 – Comunicación
Generación de comunicaciones internas (identificando cuales son las
expectativas de la organización a nivel de Compliance de los
empleados y cuales son los incumplimientos que espera que sean
escalados) y externas a nivel de Compliance (a las partes
interesadas)-
7.5 – Información documentada
Procedimientos y registros del Sistema.
Control de distribución y de copias obsoletas, disponible y protegida.
Revisada por los responsables.
ISO 19600:2015
PROCESO DE CERTIFICACIÓN
ISO 19600:2015
Proceso de certificación
FASE 1 FASE 2
REVISIÓN
IMQ IBERICA :
Madrid
C/ Velázquez, 126 - 5ª Planta
28006 - Madrid
Telf. fijo: +34 91 401 22 25
Fax: +34 91 401 69 17
Barcelona:
Telf. fijo: + 34 93 495 05 87
E-mail: [email protected]
www.imqiberica.com