ISO 37001:2016 Sistema de Gestión Antisoborno. CONTENIDO Contexto de la organización 4.1 Comprensión de la organización y de su contexto 4.2 Comprensión de las necesidades y expectativas de las partes interesadas 4.3 Determinación del alcance del sistema de gestión antisoborno 4.4 Sistema de gestión antisoborno 4.5 Evaluación del riesgo de soborno Liderazgo Planificación 5.1 Liderazgo y compromiso 5.2 Política antisoborno 5.3 Roles, responsabilidades y 6.1 Acciones para tratar autoridades en la organización riesgos y oportunidades 6.2 antisoborno planificación lograrlos Apoyo 7.1 Recursos Objetivos 7.2 Competencia y 7.3 Toma de conciencia y para formación 7.4 Comunicación 7.5 Información documentada 2 Operación Evaluación del desempeño 8.1 Planificación y control operacional 8.2 Debida diligencia 8.3 Controles financieros 8.4 Controles no financieros 8.5 Implementación de los controles antisoborno por organizaciones controladas y por socios de negocios 8.6 Compromisos antisobornos 8.7 Regalos, hospitalidad, donaciones y beneficios similares 8.8 Gestión de los controles antisoborno inadecuados 8.9 Planteamiento de inquietudes 8.10 Investigar y abordar el soborno 9.1 Seguimiento, medición, análisis y Mejora evaluación 9.2 Auditoría interna 10.1 No conformidades 9.3 Revisión por la dirección correctivas 9.4 Revisión por la función de 10.2 Mejora continua cumplimiento antisoborno y acciones 3 CONTEXTO DE LA ORGANIZACIÓN 4.1 Comprensión de la organización y de su contexto CUESTIONES INTERNAS Y EXTERNAS Tamaño, estructura autoridad y delegación de Lugares actuales y sectores por operar . Socios de negocio Naturaleza y alcance de interacciones con funcionarios públicos Naturaleza de actividades, escala de actividades y complejidad de actividades Deberes y obligaciones Modelo de negocio Legales Reglamentarias Contractuales Entidades que se controla y ejercen control sobre la organización Profesionales 5 4.2 Comprensión de las necesidades y expectativas de las partes interesadas a) Las partes interesadas que son pertinentes al sistema de gestión antisoborno. b) Los requisitos pertinentes de estas partes interesadas. 6 4.3 Determinación del alcance del sistema de gestión antisoborno Alcance Mal redactado Se confunde Excluye No se actualiza Es pretencioso Cuestiones internas y externas Requisitos de las partes interesadas Resultados de evaluación de riesgo de soborno Información documentada No está publicado 7 4.4 Sistema de gestión antisoborno 8 Controles existentes para mitigar riesgos Establecer criterios para evaluar el nivel de riesgo Revisión de Evaluar Evaluar y priorizar los identificados Analizar Identificar Anticipar riesgo soborno. Criterios 4.5 Evaluación del riesgo de soborno Frecuente, adecuada, con base en tiempo, cambios significativos 9 Resumen del capítulo 4 Determinación del contexto de la organización interno y externo, ejemplo: mediante métodos como PESTEL, FODA, entre otros. Determinación de las partes interesadas y sus requerimientos legales obligatorios e internos y sus necesidades, gestionando las acciones necesarias para cubrir las necesidades y hasta las expectativas. Determinación del alcance con sus límites y aplicabilidad, documentarlo y comunicarlo. Determinación de los procesos necesarios, ejemplo: un mapa de proceso de soporte, productivos y directivos. Determinación de analizar, evaluar y priorizar la identificación de riesgos de soborno y realizar controles existentes, ejemplo: mediante métodos AMEF, HAZOP. 10 5 LIDERAZGO 5.1.1 Órgano de Gobierno a) Aprobar la política b) Asegurar estrategia y política alineadas c) Revisar funcionamiento del SGAS d) Recursos adecuados, apropiados e) Supervisión razonable del SGAS 12 5.1.2 Alta Dirección Asegurar SGAS, política, provisión de recursos, objetivos, comunicación interna y externa, dirigiendo al personal, promoviendo cultura antisoborno, cultura de mejora continua, fomentando uso de procedimientos, asegurar que no habrá represalias con aquellos que denuncien, reportar al Órgano de Gobierno denuncias y funcionamiento del SGAS. El Órgano de Gobierno puede conformarse de un Consejo, Comités varios como el de auditoría, un comité técnico, entre otros, quien no validan día a día la implementación y funcionamiento del SGAS, esa es responsabilidad de la Alta Dirección. Donde no se cuenta con dichos comités se asigna este rol al personal que puede ser parte de los directivos o en un solo individuo. 13 5.2 Política antisoborno Las fallas comunes Qué debe incluir Prohíba el soborno Redacción Documentación Comunicación • No se cubren todos los criterios • No se documenta • No se distribuye • No está disponible (interna) • No es de fácil acceso Cumpla las leyes antisoborno Apropiada al propósito Logro de objetivos Compromiso cumplir requisitos SGAS Planteamiento de inquietudes de buena fe Compromiso mejora continua Autoridad e independencia de función del cumplimiento • No está alienada a la estrategia • No es clara para su comprensión • No disponible con las partes interesadas • No se comprende • Falta de campañas de difusión Consecuencias de incumplimiento 14 Alta dirección Asigna responsabilidades 5.3.1 Roles, responsabilidades y autoridades de la organización Asegura se comuniquen Los directores de cada área cumplan sus requisitos Órgano de Gobierno comprende sus funciones Errores u omisiones comunes: Asignación por empatía no por cualidades Sin perfiles definidos para el rol No se comunican ni están disponibles para consulta Desconocimie nto del impacto del rol en los resultados No están documentados 15 5.3.2 Función de cumplimiento antisoborno Competencia = Educación, experiencia, capacidad personal de afrontar exigencias de la función y para aprender sobre el papel y realizarlo. Supervisar diseño e implementación Asignado por competencia, estatus, autoridad, independencia Informa al Órgano Gobierno y Alta Dirección Asesora y orienta al personal SGAS conforme a ISO 37001 Autoridad = Le sean concedidos la “autoridad” suficientes para ejercer con eficacia sus responsabilidades. Independencia = En manera de lo posible sus actividades no estén involucradas directamente en el SGAS, buscar y asegurar la imparcialidad. 16 5.3.3 Delegación de la toma de decisiones Actividad La delegación de toma de decisiones no exime a la alta dirección o al órgano superior, si existen, de sus deberes y responsabilidades descritas en Por vacante Decisión parcial Delegar los apartados 5.1.1, 5.1.2 y 5.3.1, ni transfiere, necesariamente, las posibles responsabilidades legales al que se le delegó esta función. Por ausencia Temporal 17 Resumen del capítulo 5 Determinación de un Órgano de Gobierno. Determinación de una Política Antisoborno Aprobación de la Política Antisoborno por el Órgano de Gobierno o la Alta Dirección, comunicarse a las partes interesadas Determinar funciones y responsabilidades, Función de Cumplimiento antisoborno, autoridad para toma de decisiones, ejemplo: en Organigrama, descripción de puestos, memorándum Asesoramiento y orientación a las partes interesadas del SGAS, ejemplo: en trípticos, descripción de puestos, capacitaciones de inducción al personal etcétera 18 6 PLANIFICACIÓN 6.1 Acciones para tratar riesgos y oportunidades Logro de objetivos del SGAS Prevenir o reducir efectos no deseados Seguimiento de la eficacia Mejora continua 20 Objetivos para funciones y niveles pertinentes 6.2 Objetivos antisoborno y planificación para lograrlos Coherentes con política Medibles Considerar el contexto / Partes interesadas / Evaluación de riesgo Alcanzables Seguimiento Comunicados Actualizables Conservar información 21 Resumen del capítulo 6 Identificar, analizar, evaluar y priorizar la identificación de riesgos de soborno Realizar controles existentes ¿cómo?, por ejemplo: mediante métodos AMEF, HAZOP Determinación de objetivos del SGAS de las funciones y niveles pertinentes, por ejemplo: Indicadores de objetivos estableciendo un programa de actividades y responsables para el logro del objetivo. 22 7 APOYO 7.1 Recursos Humanos Suficiente personal capaz. Hardware / Software. Físicos Espacio de oficina / muebles. Financieros Presupuesto suficiente. 24 7.2 Competencias No hay perfiles de puesto Determinar necesarias competencias Asegurar por medio de educación, formación o experiencia Mejorar las competencias Evidencia de las competencias Omisiones comunes La organización debe: Sin programa de capacitación periódica No hay certificados de evidencia Sin programa de formación No hay incentivos de crecimiento Documentación del personal incompleta Capacitación empírica no documentada 25 7.2.2 Proceso de contratación Contratación • Condiciones alineado a la política • Consciente personal de afrontar consecuencias por incumplimiento Política • Recibir copia en periodo razonable del ingreso • Formación alineada Sin represalias • Negarse rechazar soborno • Antes de emplear, transferir o promover al personal • Bonos, metas de desempeño, indicadores y otros incentivos que remuneren, no fomenten el soborno Debida diligencia Bonos de desempeño o un • Realizar inquietudes o reportes de buena fe • Personal, OG y AD, presentarán un declaración de cumplimiento de la política TODOS 26 Formación y recursos disponibles Política, procedimiento y SGAS Riesgo de soborno Cómo y quién deben informar Implicaciones y potenciales consecuencias Circunstancias Contribución al SGAS 7.3 Toma de conciencia Prevenir y evitar Reconocer y responder 27 Qué 7.4 Comunicación Idioma Cuándo Quién A quién Cómo 28 7.5 Información documentada Por la norma Por la organización Extensión de información Información requerida por este documento Información determinada por la organización como necesaria Tamaño, tipo de actividades, para la eficacia del SGAS procesos, productos, servicios, complejidad de los procesos y sus interacciones, competencias 29 Resumen del capítulo 7 Determinar la competencia del personal que intervienen en el SGAS. Establecer procedimientos de contratación, ejemplo: contratos de cumplimiento de los lineamientos de la política antisoborno antes de ingresar a laborar en la organización y las sanciones de no cumplir con estos lineamientos. Fomentar en la organización la toma de conciencia entre las partes interesadas. Establecer programas de conciencia y formación. Establecer canales de comunicación internos y externos con el personal y socios de negocios, ejemplo: páginas web, correos electrónicos, pizarrones, juntas mensuales. Determinar la información documentada, autorizada y actualizada del SGAS, ejemplo: mediante Software documental, Intranet, registros de documentos autorizados. 30 8 OPERACIÓN 8.1 Planificación y control operacional Criterios para los procesos Implementación de controles Información documentada Controles específicos para 8.2 y 8.10 Controlar procesos contratados 32 8.2 Debida diligencia a) Categorizar transacciones, proyectos o actividades. b) Relaciones con socios de negocio actuales y futuras. c) Categorías por posición del personal. Transacciones Evaluar naturaleza y alcance Cuando se ha evaluado más de un riesgo: Proyectos Actividades Socio de negocio Personal Actualización con frecuencia definida considerando la vitalidad de los cambios o nueva información. La organización puede concluir que es innecesario, injustificado o desproporcionado el llevar a cabo la debida diligencia en ciertas categorías del personal y socios de negocios. 33 8.3 Controles financieros Implementar controles financieros que gestionen el riesgo de soborno. • Iniciar y • Aprobar pago Separación de funciones Niveles de ascenso • Cargo con autoridad propia • Aprobado por mecanismos pertinentes Beneficiario designado Aprobación de pagos • Necesidad de al menos 2 firmas • La necesaria adjunta al pago Documentación Continua… 34 8.3 Controles financieros Categorizar • Uso de efectivo • Control de caja Restricciones • Pago • Cuentas • Transacciones significativas Auditoría financiera • Periódica • Independiente • Sin patrones definidos Revisión 35 Contratistas, consultores, externos Evaluar legitimidad y necesidad Evaluar servicio y resultados Evaluar pagos razonables Adjudicación de contratos 2 evaluadores de cotizaciones 8.4 Controles no financieros Uno solicita y otro aprueba adjudicación Proteger integridad de la oferta Supervisión por rango más alto de AD Al menos 2 firmas en los contratos 36 8.5 Implementación de los controles antisoborno por organizaciones controladas y por socios de negocios La organización debe implementar procedimientos que requieran que todas las demás organizaciones sobre las que tiene control, bien: a) Implementen el sistema de gestión antisoborno Otra organización, implemente sus propios controles También puede implementar el SGAS Socios de negocio se incluyen en los controles de la organización de la organización. Organización b) Implementen sus propios controles antisoborno. 37 8.5.2 Socios de negocio no controlados por la organización Donde el riesgo o la debida diligencia muestren más de 1 riesgo bajo de soborno, revisar si los controles implementados por estos ayudan a mitigar el riesgo de soborno. Socio de negocio • Controles implementados • Gestión del riesgo Sin controles • No se verifica la probabilidad del riesgo Exigir controles • Transacción • Proyecto • Actividades Evaluar riesgos • Una filial, alianza, adjudicación de contrato, un cliente un contratista 38 8.6 Compromisos antisobornos Socio de negocio • Compromiso a prevenir el soborno • En toda transacción, proyecto, actividad o relación Organización • Capaz de poner fin a la relación con el socio en caso de un soborno Imposible cumplir • Considerarlo como factor de riesgo en 4.5 • Gestionar los riesgos en 8.3, 8.4 y 8.5 39 8.7 Regalos, hospitalidad, donaciones y beneficios similares Oferta Regalos Hospitalidad Donaciones Beneficios 40 8.8 Gestión de los controles antisoborno inadecuados Proyecto, actividad Reacción Nueva propuesta Medidas adecuadas Terminar Posponer Riesgo y naturaleza Interrumpir Negarse Suspender Retirarse 41 8.9 Planteamiento de inquietudes Fomentar y facilitar el reporte Tratar informes confidenciales, salvo el avance de una investigación Permitir denuncia anónima Prohibir represalias Permitir asesoría al personal para afrontar situaciones que involucran soborno 42 Requerir una evaluación / investigación 8.10 Investigar y abordar el soborno Medidas apropiadas en caso de soborno Empoderar y facilitar a investigadores Cooperación del personal Reportar estado y resultado de la investigación Investigación y resultados confidenciales Cuando la ley no lo prohíba 43 Resumen del capítulo 8 Establecer criterios y controles operacionales para la debida diligencia con transacciones, proyectos, actividades, socios de negocios y el personal, pertenecientes a estas categorías específicas. Establecer criterios y controles operacionales para controles financiero y controles no financieros. Establecer criterios y controles operacionales para organizaciones y compromisos antisoborno que se tienen controlados, por ejemplo: proveedores, socios de negocios, empresas hermanas etcétera. Establecer procedimientos o políticas para regalos, hospitalidad, donación o beneficios similares. Establecer procedimientos o políticas cuando la debida diligencia no es adecuada para un socio de negocio mediante terminar, interrumpir, suspender, negarse a continuar o retirarse lo mas pronto de esta transacción, proyecto, actividad o relación específica. Establecer medios de comunicación para que las partes interesadas reporten en caso de una percepción de soborno confidencialmente de una actividad, por ejemplo: correos electrónicos, buzón de quejas y sugerencia. Establecer un procedimiento para investigación de posibles sobornos, o el incumplimiento de la política de antisoborno o el SGAS 44 9 EVALUACIÓN DEL DESEMPEÑO 9.1 Seguimiento, medición, análisis y evaluación Qué se va a medir Quién es responsable Los métodos Cuándo se medirá Cuándo se analizará A quién y como se reporta 46 9.2 Auditoría interna Definir criterios y alcance de auditoría Intervalos planificados Requisitos con ISO 37001 Implementa y mantiene La organización debe Requisitos propios Seleccionar equipo auditor Informar resultados a la dirección pertinente Identificar oportunidades de mejora Correcciones y acciones correctivas apropiadas Información documentada como evidencia Programa de auditoría Resultados de auditoría 47 Asegurar la imparcialidad • Función independiente a otros procesos • Función de cumplimiento antisoborno • Persona por departamento auditado, que sea capaz de atender la auditoría • Una tercera parte apropiada • Un grupo que comprenda cualquier función independiente o tercera parte 48 Estado de las acciones de revisiones previas Cambios en las cuestiones internas y externas Desempeño y eficacia del SGAS • No conformidades y acciones correctivas • Resultado de seguimiento y medición • Resultado de auditorías • Reporte de sobornos • Investigaciones • Naturaleza y extensión del riesgo Eficacia de medidas adoptadas Oportunidades de mejora continua 9.3.1 Revisión por la alta dirección. El órgano de gobierno revisa periódicamente 49 Evaluar de forma continua 9.4 Revisión por la función de cumplimiento antisoborno Adecuado para gestionar riesgos No se revisa en los intervalos previstos Implementación eficaz Informar intervalos planificados Resultado de investigaciones y auditoría No se cuenta con la competencia para la revisión Omisión de resultados no favorables 50 Resumen del capítulo 9 Establecer criterios de seguimiento de evaluación, por ejemplo: seguimiento mensual de KPI´S del desempeño del SGAS. Establecer Auditorías Internas, ejemplo: establecer criterio de auditores internos (incluir a la Función de cumplimiento antisoborno, personas independientes al proceso, tercera apropiada), programas de auditorías anuales, check list de auditorías internas. Establecer la Revisión por la Dirección con la Alta Dirección, Función de cumplimiento antisoborno y Órgano de Gobierno (si aplica) en intervalos planificados. 51 10 MEJORA CONTINUA 10.1 No conformidades y acciones correctivas A veces falla… Reacción inmediata • Controlarla y corregirla • Afrontar consecuencias No se determina la finalidad y consecuencias del cambio No se integran al SGAS Ausencia de recursos No se asignan responsabilidades Eliminar la causa • Revisar la no conformidad • Causa raíz • Determinar similares o potenciales Implementar acciones necesarias Revisar la eficacia Si es necesario, hacer cambios al SGAS No determina la frecuencia, alcance y cronograma de implementación 53 10.2 Mejora continua Sin programa de mejora continua La organización debe mejorar continuamente la Sin seguimiento a NC idoneidad, adecuación, y eficacia del sistema de gestión antisoborno. Sin actualización Declive 54 Resumen de capítulo 10 Establecer el control y seguimiento del cierre de las no conformidades de acuerdo con la Norma ISO 37001:2016, mediante formatos como 8d´s o cualquier otra herramienta que apoye el seguimiento a no conformidades. Establecer la mejora continua del SGAS, ejemplo: conformando un comité de mejora continua y documentando las mejoras del SGAS. 55 DIEGO AYALA [email protected]