ISO 37001. 4.- Contexto de la organización
4.1 Comprensión de la organización y de su contexto
La empresa tiene que establecer todas las cuestiones externas e internas que son pertinentes para su propósito y que afectan a su capacidad para conseguir los objetivos previstos en el sistema de gestión antisoborno. Estas cuestiones incluyen, sin limitarse, a los siguientes factores:
- El tamaño, la estructura y la delegación de autoridad con poder de decisión de la organización
- Los lugares y sectores en los que opera la organización o anticipa operar
- La naturaleza, escala y complejidad de las actividades y operaciones de la organización
- El modelo de negocio de la organización
- Las entidades sobre las que la organización tiene el control y entidades que ejercen control sobre la organización
- Los socios de negocios de la organización
- La naturaleza y el alcance de las interacciones con los funcionarios públicos
- Los deberes y obligaciones legales, reglamentarias, contractuales y profesionales aplicables
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
La empresa tiene que establecer:
- Las partes interesadas que son pertinentes al sistema de gestión antisoborno
- Los requisitos pertinentes de estas partes interesadas
4.3 Determinación del alcance del sistema de gestión antisoborno
La empresa tiene que establecer todos los límites y la aplicabilidad del sistema de gestión antisoborno para establecer el alcance.
Cuando se establece el alcance, la empresa deberá considerar:
- Las cuestiones externas e internas referidas en 4.1
- Los requisitos referidos en 4.2
- Los resultados de la evaluación del riesgo de soborno referido en 4.5
El alcance debe estar disponible como información documentada.
4.4 Sistema de gestión antisoborno
La empresa tiene que establecer, documentar, implantar, mantener y revisar de forma continua el sistema de gestión antisoborno. Se deben incluir los procesos necesarios y sus interacciones, según los requisitos de este documento.
El sistema de gestión antisoborno tiene que contener medidas diseñadas para identificar y evaluar el riesgo, y para prevenir y enfrentar el soborno.
4.5 Evaluación del riesgo de soborno
4.5.1 La organización debe realizar de forma regular evaluaciones del riesgo de soborno que deben:
- Identificar el riesgo de soborno que la organización podría anticipar razonablemente teniendo en cuenta los factores enumerados en el apartado 4.1
- Analizar, evaluar y priorizar los riesgos de soborno identificados
- Evaluar la idoneidad y eficacia de los controles existentes de la organización para mitigar los riesgos de soborno evaluados
4.5.2 La organización debe establecer criterios para evaluar su nivel de riesgo de soborno, que debe tener en cuenta las políticas y objetivos de la organización.
4.5.3 La evaluación del riesgo de soborno debe ser revisada:
- De forma regular de modo que los cambios y la nueva información puedan evaluarse adecuadamente, con base en el tiempo y la frecuencia definidos por la organización
- En el caso de un cambio significativo en la estructura o las actividades de la organización
4.5.4 La organización debe conservar la información documentada que demuestra que se ha llevado a cabo la evaluación del riesgo de soborno, y que se ha utilizado para diseñar o mejorar el sistema de gestión antisoborno.