ISO 37301. 7.- Soporte
7.1 Recursos
La empresa tiene que establecer y ofrecer los recursos que resulten necesarios para establecer, implantar, mantener y mejorar de forma continua el Sistema de Gestión de Cumplimiento.
7.2 Competencia
7.2.1 General
La empresa tiene que:
- Establecer la competencia necesaria para la persona que realiza un trabajo bajo el control que afecta a su desempeño de cumplimiento.
- Asegurarse de que estas personas sean competentes sobre la base de una educación, formación o experiencia.
- Cuando corresponda, tomar acciones para conseguir la competencia necesaria y evaluar la efectividad de las acciones tomadas.
La información documentada apropiada tiene que estar disponible como evidencia de competencia.
7.2.2 Proceso de empleo
La empresa tiene que desarrollar, establecer, implantar y mantener procesos como:
- Las condiciones de empleo requieren que el personal cumpla con todos los cumplimientos de la empresa.
- Dentro de un período razonable desde el comienzo de su empleo, la persona debe recibir copia de la política y la formación.
- Se toman medidas disciplinarias apropiadas contra el personal que viole las normas de la empresa.
Como parte del proceso de empleo, la empresa tiene que considerar los riesgos de cumplimiento que plantean los roles, y aplicar los procedimientos de diligencia debida según se requiera antes de cualquier contratación, transferencia y promoción.
La empresa tiene que implantar un proceso que establece una revisión de forma periódica de los objetivos de desempeño, bonificaciones por desempeño y otros incentivos, para verificar que existan medidas adecuadas para prevenir el fomento del incumplimiento.
7.2.3 Entrenamiento
La empresa deberá establecer el personal pertinente formación de manera regular, desde el momento en el que inicia el empleo y a intervalos planificados que determina la organización.
La formación será:
- Apropia para las funciones del personal y los riesgos de cumplimiento a los que está expuesto el personal.
- Evaluada en cuanto a su efectividad.
- Revisada de forma periódica.
Se debe tener en cuenta los riesgos de cumplimiento identificados, la empresa tiene que asegurar que los procedimientos implantados para abordar la concientización sobre el cumplimiento y la capacitación para terceros que actúan en su nombre y quién puede representar un riesgo de cumplimiento para la empresa.
Los registros de capacitación se conservarán como información documentada.
7.3 Conciencia
Las personas que lleven a cabo trabajos bajo el control de la empresa deben conocer:
- La política de cumplimiento.
- Su contribución a la eficacia del sistema de gestión del cumplimiento.
- Las implicaciones de no cumplir con los requisitos del sistema de gestión del cumplimiento.
- Los medios y procedimientos para plantear problemas de cumplimiento.
- La relación de la política de cumplimiento y las obligaciones de cumplimiento relevantes para su función.
- La importancia de apoyar la cultura de cumplimiento.
7.4 Comunicación
La empresa tiene que establecer las comunicaciones internas y externas que son relevantes para el cumplimiento de sistema de gestión, en las que se incluye:
- Sobre lo que comunicará.
- Cuándo comunicarse.
- Con quién comunicarse.
- Cómo comunicarse.
La empresa tiene que:
- Considerar aspectos de diversidad y barreras potenciales al considerar sus necesidades de comunicación.
- Garantizar que se tengan en cuenta las opiniones de las partes interesadas al establecer su comunicación.
Al establecer los procesos de comunicación:
- Incluir comunicación sobre su cultura de cumplimiento, objetivos y obligaciones de cumplimiento.
- Asegurarse de que la información de cumplimiento que se comunicará sea coherente con la información generada dentro del sistema de gestión de cumplimiento y es confiable.
- Responder a las comunicaciones relevantes sobre su sistema de gestión de cumplimiento.
- Conservar información documentada como evidencia de sus comunicaciones.
- Comunicar internamente información relevante para el sistema de gestión del cumplimiento entre los varios niveles y funciones de la organización.
- Asegurar que sus procesos de comunicación permitan al personal contribuir a la mejora continua del sistema de gestión del cumplimiento.
- Asegurarse de que sus procesos de comunicación permitan al personal plantear inquietudes.
Se debe tener en cuenta los riesgos de cumplimiento que se identifican, la empresa tiene que asegurarse de que los procedimientos implantados para abordar la concientización sobre el cumplimiento y la capacitación para terceros que actúan en su nombre y quién puede representar un riesgo de cumplimiento para la empresa.
Los riesgos de capacitación se conservarán como información documentada.
7.5 Información documentada
7.5.1 General
El sistema de gestión del cumplimiento de la organización debe incluir:
- Información documentada requerida por este documento.
- Información documentada determinada por la organización como necesaria para la eficacia del sistema de gestión del cumplimiento.
7.5.2 Creación y actualización de información documentada
Al crear y actualizar información documentada, la organización debe asegurarse de que:
- Esté correctamente identificada y descrita.
- Tenga el formato
- Esté revisada y tenga aprobación de idoneidad y adecuación.
7.5.3 Control de la información documentada
La información documentada que se requiere para el Sistema de Gestión de Cumplimiento y por este documento deberá ser controlado para asegurar:
- Estar disponible y es adecuado para su uso.
- Estar adecuadamente protegido.
Para el control de la información documentada, la organización debe abordar las siguientes actividades, como aplicable:
- Distribución, acceso, recuperación y uso.
- Almacenamiento y conservación, incluida la conservación de la legibilidad.
- Control de cambios.
- Retención y disposición.
Se tiene que identificar la planificación y operación del Sistema de Gestión de Cumplimiento, y se debe revisar.