 |
| Fuente del esquema: elaboración propia |
El siguiente apartado es el relativo al conocimiento de las necesidades y expectativas de las personas o grupo de personas que teniendo sus propias funciones con responsabilidades, autoridades y relaciones para el logro de los resultados programados (lo que la norma define como “partes interesadas” y que debe entender en sentido transversal y amplio), puede afectar, verse afectada o percibirse como afectada por una decisión o actividad. Para ello se deberán identificar estas partes interesadas así como sus requisitos, especificaciones que se afrontarán en el marco del sistema de compliance. La norma nos recuerda que algunas de las necesidades son obligatorias porque se han incorporado a los requisitos formales y otras, a priori voluntarias, se convierten en obligatorias al ser adoptadas voluntariamente por la organización.
El tercer punto trata de la determinación del alcance del sistema de gestión del compliance, es decir, esos límites y aplicabilidad del sistema que posibilitan establecer su alcance, con el que se pretende aclarar los principales riesgos y los límites geográficos u organizacionales a los que se aplicará el sistema, teniendo en cuenta que este alcance siempre deberá dar cobijo a las obligaciones inventariadas en el sistema de compliance. Este apartado lo catalogo súper importante, puesto que hay que recordar que la norma es de alto nivel, general, a modo de gran cenáculo o merendero donde, con la adecuada adaptación caben distintas entidades, con independencia de su tamaño, organización, ubicación o actividad, pudiendo, en su caso, realizar limitaciones al alcance a nivel organizativo, territorial o por actividad.
La norma define el sistema de gestión del compliance como ese cerco que integra estructuras, políticas, procesos y procedimientos esenciales para conseguir los resultados del compliance que se pretenden y actuar para prevenir, detectar y reaccionar ante un desajuste o no cumplimiento. Por tanto, de acuerdo con los requisitos de la norma y junto a los métodos ineludibles y sus interacciones, deberemos diseñar, implementar y mejorar perennemente el sistema de gestión del compliance, reflejando los valores, objetivos, estrategia y riesgos que acechan a la organización, en el contexto donde desarrolla su actividad. De esta forma construiremos el marco estructural de cumplimiento específico de esa institución construido conforme a las especificaciones de esta norma de alto nivel.
El apartado cinco, obligaciones de compliance los considero uno de los contrafuertes esenciales del sistema de compliance. Entendemos obligaciones como esas necesidades o expectativas establecidas y obligatorias (requisitos) que una obligación tiene “sí o sí” que cumplir, junto a aquellos otros compromisos que la organización elije “voluntariamente cumplir” y que desde ese momento para la norma se convierten también en obligatorios. En esta línea, la organización, mediante procedimientos definidos formalmente, debe tener identificadas de manera sistemática sus obligaciones de compliance, así como la evaluación del impacto de estos requisitos en sus operaciones. Esta información generada deberá encontrarse perfectamente documentada y debidamente conservada.
Finalmente, y teniendo en cuenta la marcada orientación a riesgos de la norma, otro contrafuerte fundamental es el relativo a la evaluación periódica y, siempre que sea necesario, de los riesgos de compliance. Para ello, deberá identificar, analizar y valorar esos riesgos mediante una correspondencia entre obligaciones, por un lado, y actividades y operaciones, por otro, incluyendo los procesos subcontratados y de tercera parte. Para la ISO, la evaluación de riesgos constituye la base para la implementación del sistema de gestión del compliance y la asignación adecuada de recursos y procesos para gestionar los riesgos identificados. Fuente de la información: ISO. Fuente de la imagen: elaboración propia.