ISO 19600. 7.- Apoyo
7.1 Recursos
La empresa tiene que establecer y facilitar los recursos necesarios para realizar, desarrollar, implantar, evaluar, mantener y mejorar de forma continua el sistema de gestión de compliance según su tamaño, complejidad, estructura y operaciones.
La dirección de la organización, en todos sus niveles, tiene que confirmar que se faciliten los recursos necesarios para manifestar que el sistema de gestión de compliance consigue sus objetivos.
Los recursos incluyen:
- Recursos financieros y humanos.
- Acceso a asesoramiento externos.
- Infraestructura organizativa.
- Material de referencia.
- Desarrollo profesional.
- Tecnología.
7.2 Competencia y formación
7.2.1 Competencia
La empresa tendrá que:
- Establecer la competencia necesaria de las personas que llevan a cabo un trabajo que afecta al desempeño del compliance.
- Asegurarse que las personas sean competentes, basándose en la educación, formación o experiencia.
- Cuando se aplique, realizará acciones para conseguir las competencias necesarias y evaluar la eficacia de las acciones llevadas a cabo.
- Conservar la información documentada de forma apropiada, como evidencia de la competencia.
7.2.2 Formación
El órgano de gobierno, la dirección y todos los trabajadores tienen obligaciones de compliance y deben ser capaces de cumplirlas de forma eficiente. Conseguir la capacidad puede hacerse de muchas formas diferentes, incluso las habilidades y conocimientos que se requieran, mediante la educación, formación o experiencia profesional.
El principal objetivo de un programa de formación es ratificar que todos los trabajadores son competentes para cumplir con su rol profesional de forma consistente con la cultura de compliance de la empresa y con el compromiso que tiene con compliance.
Una formación llevada a cabo de forma adecuada puede ofrecer una forma eficaz de que los trabajadores comuniquen los riesgos de compliance que previamente no hubieran sido identificados.
La educación y formación de los trabajadores deberían:
- Realizarse a medida de las obligaciones y los riesgos de compliance a los que se encuentran relacionados con los roles y las responsabilidades del trabajador.
- Cuando sea necesario, estar basadas en una evaluación de las carencias de conocimiento y competencias del trabajador.
- Realizar el comienzo de la relación del empleado con la empresa y después de forma continua.
- Estar alineadas con el programa de formación corporativo e introducidas en los planes anuales de formación.
- Ser prácticas y fácilmente comprensibles para los trabajadores.
- Ser relevantes para el trabajo diario de los empleados e ilustrativas.
- Ser lo suficientemente flexibles como para que puedan ser impartidas por diferentes técnicas para acomodarse a las distintas necesidades de las empresas y los empleados.
- Ser evaluadas por su eficacia.
- Ser actualizadas siempre que sea necesario.
- Ser registradas y conservadas.
Se tendría que tener en cuenta la necesidad de impartir formación adicional, siempre que exista la posibilidad:
- Cambios en la posición o en las responsabilidades.
- Cambios en las políticas, los procedimientos y los procesos internos.
- Cambio en la estructura organizativa.
- Cambios en las obligaciones de compliance.
- Cambio en las actividades, productos o servicios.
- Cuestiones identificadas en el seguimiento, la auditoría, las revisiones, las reclamaciones e incumplimiento
7.3 Toma de conciencia
7.3.1 Generalidades
Las personas que llevan a cabo el trabajo bajo el control de la empresa, deberán ser conscientes de:
- La política de compliance.
- La contribución a la eficacia del sistema de gestión de compliance.
- Las implicaciones que tienen no cumplir con los requisitos del sistema de gestión de compliance.
7.3.2 Comportamientos
7.3.2.1 Generalidades
Se tienen que fomentar los comportamientos que generan y apoyan al compliance y no se debe tolerar los comportamientos que comprometan al compliance.
7.3.2.2 Rol de la alta dirección en el apoyo a compliance
La alta dirección tiene una responsabilidad crucial para:
- Alinear los compromisos del compliance de una empresa con sus valores, objetivos y estrategia para posicionar al compliance de forma adecuada.
- Comunicar los compromisos del compliance para sensibilizar y motivar a los trabajadores.
- Animar a todos los trabajadores para que acepten la importancia de conseguir los objetivo del compliance.
- Generar un entorno en el que se fomente sobre los incumplimientos y en el que se protege de represalias al trabajador.
- Animar a los empleados a que hagan sugerencias que faciliten la mejora continua del desempeño del compliance.
- Asegurar que compliance se incorpora en la cultura amplia de la empresa y en las iniciativas de cambio cultural.
- Identificar todos los incumplimientos de compliance y actuar de manera rápida para corregirlos.
- Asegurar que las políticas, procedimientos y procesos de la empresa apoyan y alientan al compliance.
- Asegurar que los objetivos y metas operaciones no comprometen a un comportamiento adecuado.
7.3.2.3 Cultura de compliance
Llevar a cabo una cultura de compliance exige que el órgano de gobierno y la dirección de la organización tengan un compromiso visible, consistente y sostenido con un estándar común y publicado de comportamiento que se requiere en todas y cada una de las áreas de la empresa.
7.4 Comunicación
7.4.1 Generalidades
La empresa debe determinar la necesidad de realizar comunicaciones internas y externas necesarias para el sistema de gestión de compliance, que incluyan:
- El contenido de la comunicación.
- Cuando se debe comunicar.
- A que personas se debe comunicar.
- Como se tiene que comunicar.
7.4.2 Comunicación interna
La empresa tiene que adoptar métodos adecuados de comunicación para asegurar que el mensaje de compliance se escucha y se entiende por todos los trabajadores de forma continua. La comunicación debe indicar de forma clara cuales son las expectativas que tiene la empresa sobre los empleados y cuáles son los incumplimientos que se espera que sean escalados, en qué circunstancias y a quién.
7.4.3 Comunicación externa
Se tiene que adoptar un enfoque práctico de comunicación externa, dirigido a todas las partes interesadas, según la política de la empresa.
Las partes interesadas pueden incluir a organismos reguladores, clientes, contratistas, proveedores, inversores, servicios de emergencia, organizaciones no gubernamentales y vecinos.
Los métodos de comunicación pueden incluir páginas web y correos electrónicos, comunicados de prensa, anuncios y boletines emitidos de forma periódica, discusiones informales, jornadas de puertas abiertas, grupos de trabajo, diálogo con la comunidad, involucración en evento de la comunidad y líneas telefónicos directas. Estos enfoques pueden apoyar el entendimiento y la aceptación del compromiso con compliance de una empresa.
7.5 Información documentada
7.5.1 Generalidades
El sistema de gestión de compliance de la empresa tiene que incluir:
- La información documentada necesaria.
- La información documentada que la empresa ha determinado como necesaria para la eficacia del sistema de gestión de compliance.
7.5.2 Creación y actualización
Al generar y actualizar la información documentada, la empresa tiene que asegurarse que lo que viene después sea apropiado:
- La identificación y descripción.
- El formato.
- La revisión y aprobación con respecto a la idoneidad y adecuación.
7.5.3 Control de la información documentada
La información documentada y requerida por el sistema de gestión de compliance y por esta norma internacional se debe controlar para asegurarse que:
- Se encuentre disponible y adecuada para su uso, donde y cuando se necesite.
- Se encuentre protegida de forma adecuada.
Para el control de la información documentada, la empresa tiene que tratar las siguientes actividades, según corresponda:
- Distribución, acceso, recuperación y uso.
- Almacenamiento y preservación, incluida la preservación de la legibilidad.
- Control de cambios.
- Retención y disposición final.
- El papel de terceras partes en la creación y el control de la información documentada.
La información documentada de origen externo, que la empresa determina como necesaria para planificar y operar con el sistema de gestión de compliance, se debe identificar según sea adecuado y controlarla.
La información documentada se puede preparar con el propósito de conseguir asesoramiento legal y, por tanto, puede estar sometida a privilegio legal.