La norma ISO 19600: COMPLIANCE- Bilbao 11 de Noviembre del 2016

Transcripción

1 La norma ISO 19600: COMPLIANCE- Bilbao 11 de Noviembre del 2016

2 Indice Presentacion IMQ Antecedentes ISO Conceptos de la ISO Proceso de certificación

3 Gruppo IMQ IMQ (Istituto Italiano del Marchio di Qualità) se fundó en 1951 en Milán (Italia) y tiene como objeto social la Certificación de Productos y de Sistemas de Gestión. En materia de certificación de productos, es especialista en certificación de normativas y marcado CE, CCC, CSA, GOST, GS, ENEC, KTW y certificados HAR, así como en todo tipo de pruebas de laboratorio (pruebas de compatibilidad electromagnética, producto médico, etc. ) en todo tipo de ámbitos y sectores.

4 Gruppo IMQ En materia de certificación de sistemas, IMQ, de igual modo se encuentra acreditado para emitir certificados de: * Calidad (ISO 9001:2008). * Medio Ambiente ( ISO 14001: 2004). * Seguridad y Salud Laboral (OHSAS 18001:2007). * Sistemas de Calidad en el sector médicosanitario (ISO 13485). * Seguridad de la Información (ISO 27001:2005). * Sistemas de Gestión de la Información (ISO 20000:2006). * Sistemas de Continuidad de Negocio (BS 25999). * Sistemas de Calidad en el sector de la alimentación (ISO / IFS / BRC). * Certificación Forestal (FSC / PEFC).

5 IMQ IMQ Electrical Products IMQ-UNICIG Gas Products IMQ Security Systems IMQ Certificate with surveillance IMQ Performance Mark IMQ Quality Mark IMQ-EMC EMC European Mark EMC International emc- Mark 0051 HAR European Mark for Cables ENEC European Mark for Household appliances, Lighting, ICT, Components GS Safety mark CE marking

6 IMQ QMS ISO 9001 EMS ISO OH&S OHSAS ISMS ISO EnMS ISO SA 8000 / IQNet RS10 Other sectorial standards: QMS Autom. ISO-TS HACCP UNI FMS Food ISO QMS Medical ISO International Railway Industry Standard UNI ISO ISO Web Sites Certification International Certification Mark ISO IT Service Management ISO Business Continuity

7 - ANTECEDENTES - QUÉ ES LA ISO 19600? Es una potente herramienta para detectar y gestionar los riesgos por posibles incumplimientos de sus obligaciones. Norma internacional que establece un referente de buenas prácticas en materia de gestión de compliance, más allá de fronteras, culturas y jurisdicciones. La norma ISO se dirige a las organizaciones que quieran implantar un sistema de gestión que les permita demostrar su compromiso con los requisitos legales que le son de aplicación y con aquellos otros requisitos con los que voluntariamente ha decidido comprometerse.

8 - ANTECEDENTES - QUÉ ES LA ISO 19600? Se puede implantar a todo tipo de organizaciones. Cada implantación será diferente ya que cada alcance será diferente en base a las diferentes naturalezas de cada organización. La ISO recoge directrices para implantar, mantener y mejorar un sistema de gestión de compliance. La norma tiene 10 puntos pero son de aplicación de implantación del punto 4 al punto 10.

9

10 PASO 1 Determinación del alcance y del Sistema de Gestión compliance (4.3/4.4) 4.3 Determinación del alcance del Sistema de Gestión Compliance Hay que identificar un alcance (actividad posteriormente a certificar) que identifique límites geográficos y organizativos. Importante identificar sobre todos para aquellas organizaciones que forman parte de una organización más amplia en una zona determinada.

11 PASO 1 Determinación del alcance y del Sistema de Gestión compliance (4.3/4.4) 4.3 Determinación del alcance del Sistema de Gestión Compliance Hay que tener en cuenta para esta definición del alcance: - Cuestiones externas e internas (contexto regulatorio, social y cultural, la situación económica, políticas internas, procedimientos, procesos y recursos) (4.1) - Las partes interesadas y sus requisitos (4.2). - Identificar los requisitos Compliance de la organización (Requisitos que una organización tiene que cumplir). (ejemplos: normas legales,permisos, licencias, autorizaciones, órdenes, reglas, protocolos, tratados, convenciones, ) (4.5.1).

12 PASO 1 Determinación del alcance y del Sistema de Gestión compliance (4.3/4.4) 4.3 Determinación del alcance del Sistema de Gestión Compliance - Identificar compromisos Compliance organización (Requisitos que una organización elige cumplir). (acuerdos con grupos de su comunidad, organizaciones gubernamentales, principios voluntarios, códigos de prácticas, compromisos medioambientales, normas o estándares relevantes para la organización (4.5.1) - El alcance debe estar documentado.

13 PASO 2 Identificar a las partes interesadas 4.2 Comprensión de las necesidades de las partes interesas Identificación de personas u organizaciones. Identificar sus requisitos Compliance (Requisitos que una organización tiene que cumplir).

14 PASO 3 Identificación de asuntos internos y externos 4.1 Comprensión de la organización y de su entorno Identificar el contexto regulatorio, social y cultural, la situación económica, políticas internas, procedimientos, procesos y recursos.

15 PASO 4 Principios de Buen Gobierno 4.4 Sistema de Gestión de Compliance y principios de Buen Gobierno La organización debe establecer, implementar, mantener y mejorar un Sistema de Gestión de Buen Gobierno. Identificar los procesos necesarios y sus interacciones. Principios de Buen Gobierno: - Acceso directo de la función de Compliance al órgano de Gobierno (es quién Gobierna la organización, a quién la Alta Dirección rinde cuentas). - Independencia de la función Compliance con autoridad suficiente y recursos adecuados.

16 PASO 4 Principios de Buen Gobierno 4.4 Sistema de Gestión de Compliance y principios de Buen Gobierno El Sistema debe presentar: - Valores - Objetivos (cuantificables, medibles, coherentes). Pueden ser financieros, medioambientales, seguridad, salud). Deben ser acordes y relacionados con la política. - Estrategia - Riesgos

17 PASO 5 Establecer la Política de Complicance 5.2 Política de Compliance La deben establecer el Órgano de Gobierno y la Alta Dirección (si se consulta con los empleados mejor). Debe: - Adecuada al propósito de la organización. - Marco de referencia para la definición de objetivos - Identificar cumplimiento con requisitos legales - Identificar cumplimiento de mejora continua Debe estar disponible, accesible y comprensible para los empleados.

18 PASO 6 Identificar las obligaciones del Compliance y evaluación de los riesgos del Compliance 4.5 Obligaciones de Compliance Identificación de las obligaciones Compliance Deben estar documentadas. Las obligaciones del Compliance se dividen en: - Requisitos Compliance de la organización (Requisitos que una organización tiene que cumplir). (ejemplos: normas legales,permisos, licencias, autorizaciones, órdenes, reglas, protocolos, tratados, convenciones, ) (4.5.1). - Compromisos Compliance de la organización (Requisitos que una organización elige cumplir). (acuerdos con grupos de su comunidad, organizaciones gubernamentales, principios voluntarios, códigos de prácticas, compromisos medioambientales, normas o estándares relevantes para la organización (4.5.1)

19 PASO 6 Identificar las obligaciones del Compliance y evaluación de los riesgos del Compliance 4.5 Obligaciones de Compliance Mantenimiento de las obligaciones Compliance La organización debe disponer de procesos que identifiquen novedades y modificaciones en la legislación. Así se asegura el cumplimiento continuo. Además, siempre que exista un cambio deberán implantarlo.

20 PASO 6 Identificar las obligaciones del Compliance y evaluación de los riesgos del Compliance 4.6 Identificación, análisis y evaluación de los riesgos Compliance La organización debe identificar sus riesgos Compliace relacionando sus obligaciones Compliance con las actividades, productos, servicios que suministra y de ahí, identificar situaciones que pueden dar lugar a incumplimientos. Se deben identificar: - Las causas de los incumplimientos Compliance. - Las fuentes de los incumplimientos Compliance. - Las consecuencias de sus incumplimientos Compliance (daños personales, ambientales, perdidas económicas, daño reputacional y responsabilidades administrativas). - La gravedad de sus incumplimientos Compliance. - Probabilidad de que ocurran

21 PASO 6 Identificar las obligaciones del Compliance y evaluación de los riesgos del Compliance 4.6 Identificación, análisis y evaluación de los riesgos Compliance - Hay que comparar el nivel de riesgo identificado con el nivel de riesgo aceptable y en base a los resultados implantar controles. Los riesgos se deben reevaluar periodicamente (cada vez que existan cambios en las actividades, nuevos productos, en la organización, cambios externos financieros, incumplimientos compliance, etc.). Para este punto las organizaciones se pueden apoyar en la ISO

22 PASO 7 Planificación para abordar los riesgos del Compliance y para alcanzar los objetivos 6 Planificación 6.1. Acciones para tratar riesgos y oportunidades Se han de planificar las acciones para tratar los riesgos y las oportunidades y que posteriormente se pueden implantar en el Sistema Compliance. La identificación de los riesgos nos dará, en aquellos en los que existan incumplimientos o su ratio se bajo, los objetivos a definir.

23 PASO 7 Planificación para abordar los riesgos del Compliance y para alcanzar los objetivos 6 Planificación 6.2- Objetivos de Compliance y planificación para lograrlos Objetivos (cuantificables, medibles, coherentes). Pueden ser financieros, medioambientales, seguridad, salud). Deben ser acordes y relacionados con la política. Se han de identificar recursos y responsabilidades para conseguir ese objetivo y metas temporales y meta final temporal.

24 PASO 8 Planificación operacional y control de los riesgos compliance 8 Operación 8.1. Planificación y control operacional / 8.2 Establecimiento de controles y procedimientos Controlar la acciones propuestas para conseguir los objetivos marcados y su implementación en el Sistema Compliance. Se pueden crear procedimientos de control a tal efecto. 8.3 Procesos externalizados Los procesos externalizados han de ser contralados. Debe estar identificado cómo riesgo. Ha de ser contralado y tener identificado en los contratos con los contratista cláusulas Compliance. Homologación de proveedores Compliance.

25 PASO 9 Evaluación del desempeño e informes de Compliance 9 Evaluación del desempeño 9.1. Seguimiento, medición, análisis y evalución Se ha de realizar un seguimiento para verificar que alcanza el desempeño Compliance. Se debe confeccionar un Plan de Seguimiento Continuo identificando: - Procesos - Programas - Recursos

26 PASO 9 Evaluación del desempeño e informes de Compliance 9 Evaluación del desempeño 9.1. Seguimiento, medición, análisis y evalución Se ha de realizar seguimiento en: - La formación - Eficacia de los controles - Asignación eficaz de responsabilidades - Actualización de obligaciones Compliance - Eficacia de la Gestión de fallos Compliance - Casos en los que no existan inspecciones internas de Compliance

27 PASO 9 Evaluación del desempeño e informes de Compliance 9 Evaluación del desempeño 9.1. Seguimiento, medición, análisis y evaluación La organización debe implementar, evaluar y mantener procedimientos para buscar y recibir opiniones de su desempeño Compliance (empleados, clientes, proveedores, reguladores, etc ). Métodos de recogida de información múltiples. La información recogida ha de ser clasificada y almacenada. Posteriormente la información debe ser analizada y tomar decisiones ya que seguramente se identifiquen nuevos riesgos a considerar.

28 PASO 9 Evaluación del desempeño e informes de Compliance 9 Evaluación del desempeño 9.1. Seguimiento, medición, análisis y evaluación Se han de desarrollar indicadores medibles que nos ayuden a medir el logro de nuestros objetivos marcados (6.2) y cuantificar su desempeño Compliance. Los indicadores ha de estar relacionados con los riesgos Compliance de la organización. Ejemplo de indicadores: - Porcentaje de empleados a los que se les ha impartido formación eficaz - Frecuencia de contactos con reguladores - Utilización de mecanismos para obtener opiniones - Tendencias de incumplimientos

29 PASO 9 Evaluación del desempeño e informes de Compliance 9 Evaluación del desempeño 9.1. Seguimiento, medición, análisis y evaluación Se han de crear informes Compliance que informe a El Órgano de Gobierno, a la Dirección y a la función Compliance de la evolución del Sistema. Se han de presentar estos informes periódicamente. Si hay un incumplimiento emergente o grave se crearán informes extraordinarios. Estos informes debe de ser detallados; ver contenido en Plan de Seguimiento Continuo Informes Compliance

30 PASO 9 Evaluación del desempeño e informes de Compliance 9 Evaluación del desempeño 9.2. Auditoria interna Se han realizar auditorias internas. Plan de auditorias. Definición de equipo auditor Informe de auditoria 9.3. Revisión por la Dirección Informe de Revisión por la Dirección a intervalos planificados.

31 PASO 10 Gestión de incumplimientos y Mejora Continua 10 Mejora 10.1 No conformidades y acciones correctivas Registros de No Conformidades y de Acciones Correctivas Mejora Continua La información recopilada nos ha de servir para que el sistema se retroalimente y mejore.

32 PASO 11 Compromiso de la Dirección, Función de Compliance Independiente, Responsabilidades de todos los niveles, Funciones de apoyo 5 Liderazgo 5.1 Liderazgo y Compromiso El liderazgo y Compromiso de la Alta Dirección y del Órgano de Gobierno debe ser activo, involucrandose. La Política Compliance ha ser firmada por el Órgano de Gobierno. La Alta Dirección debe hacer ver a todos los empleados que la organización es Compliance. Continuas declaraciones Compliance claras. El Complicance debe tener deber de autoridad Roles, responsabilidades y autoridades en la organización Identificación del Compliance Officer. Responsabilidades de los empleados.

33 PASO 11 Compromiso de la Dirección, Función de Compliance Independiente, Responsabilidades de todos los niveles, Funciones de apoyo 7- Apoyo 7.1 Recursos Identificación de recursos financieros y humanos para la correcta implantación del Sistema. 7.2 Competencia y formación Formación especifica para el Compliance Officer y el equipo humano destinado al efecto. Se ha de evaluar la eficacia de las acciones formativas tomadas.

34 PASO 11 Compromiso de la Dirección, Función de Compliance Independiente, Responsabilidades de todos los niveles, Funciones de apoyo 7.2 Competencia y formación A otro nivel tanto el Órgano de Gobierno, la Alta Dirección y los empleados han de recibir formación en Compliance en base a su posición (formación a medida en función del puesto de trabajo). 7.3 Toma de conciencia Generar comportamientos Compliance y no tolerar comportamientos No Compliance. Canal abierto a comunicar incumplimientos. Crear una Cultura Compliance.

35 PASO 11 Compromiso de la Dirección, Función de Compliance Independiente, Responsabilidades de todos los niveles, Funciones de apoyo 7- Apoyo 7.4 Comunicación Generación de comunicaciones internas (identificando cuales son las expectativas de la organización a nivel de Compliance de los empleados y cuales son los incumplimientos que espera que sean escalados) y externas a nivel de Compliance (a las partes interesadas)- 7.5 Información documentada Procedimientos y registros del Sistema. Control de distribución y de copias obsoletas, disponible y protegida. Revisada por los responsables.

36 PROCESO DE CERTIFICACIÓN

37 Proceso de certificación FASE 1 FASE 2 REVISIÓN

38 Dudas

39 IMQ IBERICA : Madrid C/ Velázquez, 126-5ª Planta Madrid Telf. fijo: Fax: Barcelona: Telf. fijo: info@imqiberica.com