ISO 37301 – Apartado 4.3 Determinación del alcance del sistema de gestión del compliance

ISO 37301

Todo tiene su límite, y en el caso de las normas ISO esta aseveración es absolutamente conveniente porque es muy necesario demarcar los aspectos en que se enfocarán nuestros esfuerzos. De esto, precisamente, versa el apartado 4.3 de la norma ISO 37301 – Sistema de gestión de compliance, y que tiene por título “determinación del alcance del sistema de gestión de compliance”.

El estándar no cuenta con una definición del término alcance, pero acá lo explicaremos como una forma de delimitar las operaciones, actividades, lugares, obligaciones y riesgos de compliance con los que opera una organización, y que están sujetos a los lineamientos establecidos para el sistema de gestión.

La norma establece la obligación de que el alcance esté disponible como información documentada. Pero ¿qué considerar y qué documentar?

• Contexto de la organización (apartado 4.1 del estándar): El Anexo A de la norma ISO 37301 apunta a que conocer el contexto nos ayuda a enfocarnos en la planificación, implementación, operación y mejora del sistema de gestión del compliance. Se trata de conocer quiénes somos, como organización, hacia dónde vamos, qué deseamos lograr, a qué riesgos nos enfrentamos y qué obstáculos existen para que logremos nuestros objetivos.
• Necesidades y expectativas de las partes interesadas (apartado 4.2 de la norma): Es imperativo precisar quiénes son las partes interesadas del negocio y cuáles son los requerimientos de estas en función al SGC.
• Límites geográficos: ¿En qué zona (s) opera la compañía? ¿Debe atenerse a legislaciones nacionales o internacionales? ¿El sistema de gestión del compliance se implementará en toda la organización, en una unidad específica o en una función específica dentro de la empresa?
• Límites organizacionales: Necesitamos dilucidar si la organización es parte de una multinacional, si cuenta con sucursales, cuáles de ellas serán parte del sistema de gestión de cumplimiento, si es controlada o controlante. También es vital conocer quién y cómo se tomarán las decisiones del SGC, es decir, si se hará de manera centralizada o si cada filial tomará sus propias decisiones.
• Riesgos de compliance: Uno de los elementos primordiales de la documentación de un CMS tiene que ver con la identificación, análisis y valoración de los riesgos de cumplimiento. Y no solo eso, también es necesario que en la organización relacionen sus obligaciones de compliance (compromisos, leyes, contratos y requisitos) con sus actividades, productos, servicios y aspectos relevantes de las operaciones.
• Independiente, exclusivo o integrado: ¿El sistema de gestión de compliance será el único en implementarse, se integrará a otros sistemas de gestión o será independiente de estos?
• Obligaciones de compliance: Nos referimos a la legislación, requisitos, reglamentos y compromisos adquiridos por la organización en las zonas en las que opera la empresa y normas internas a las que debe acogerse.
• Precisión antes que todo: El sistema de gestión del compliance debe reflejar los valores, objetivos, estrategia y riesgos de compliance de la organización.
• Atributos imprescindibles: Es deseable que el SGC se rija por los principios de buen gobierno, proporcionalidad, integridad, transparencia, responsabilidad y sostenibilidad.

En función a esto tendremos todos los elementos necesarios para:

• Definir las fronteras y aplicabilidad del CGC y
• Plantear un alcance que será recogido como información documentada y estará disponible como tal.

¿Dónde ubicarlo? Es común encontrar el alcance del sistema de gestión en la política del sistema de gestión de compliance, en el código de conducta, en el manual del sistema de gestión o en algún documento de gestión de esas características. Podemos elegir los textos y composiciones de nuestra preferencia, siempre y cuando los documentemos, y la norma es insistente al respecto tanto en el cuerpo principal del estándar como el Anexo A.

¿Te cuento algo que parece obvio, pero no lo es tanto? La información documentada no es un documento ni un compendio de papeles que no nos permiten sacar conclusiones. Se trata de pruebas que demuestran con evidencias que el sistema de gestión de compliance cumple con los requisitos de la norma ISO 37301, se llevaron a cabo los procesos adecuadamente y se hicieron las auditorías requeridas.

¿Pensando en implementar un sistema de gestión de compliance? En ISOTools somos los indicados para ello, nuestra experiencia nos consolida como los mejores del mercado.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.