Borrador ISO 37301 Español

BORRADOR NORMA ISO 37301 – EN REVISIÓN PARA APROBACIÓN FINAL
NO ES EL TEXTO FINAL – ES POSIBLE QUE HAYA MODIFICACIONES

(Documento para uso exclusivo en el sistema de revisión de documentos de UNE)
(Se entrega para efectos académicos)
PRÓLOGO
La Organización Internacional de Normalización (ISO) es una federación mundial

de órganos nacionales de normalización (órganos miembros de la ISO).
La labor de preparación de las normas internacionales se lleva a cabo

normalmente a través de los comités técnicos de la ISO.
Cada órgano miembro interesado en un tema para el que se haya establecido un

comité técnico tiene derecho a estar representado en ese comité.
También participan en la labor organizaciones internacionales, gubernamentales y

no gubernamentales, en enlace con la ISO.
La ISO colabora estrechamente con la CEI en todos los asuntos de normalización

electrotécnica.
Los procedimientos utilizados para elaborar el presente documento y los

destinados a su mantenimiento ulterior se describen en la primera parte de las
directivas de la ISO/CEI.
En particular, cabe señalar los diferentes criterios de aprobación necesarios para

los distintos tipos de documentos de la ISO.
El presente documento se ha redactado de conformidad con las normas editoriales

de las Directivas ISO/CEI, Parte 2 (véase www.iso.org/directives).
Se señala a la atención la posibilidad de que algunos de los elementos de este

documento puedan ser objeto de derechos de patente.
La ISO no se responsabiliza de la identificación de alguno o todos esos derechos

de patente.
Los detalles de cualquier derecho de patente identificado durante la elaboración

del documento figurarán en la Introducción y/o en la lista de la ISO de
declaraciones de patentes recibidas (véase www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es una información dada
para la conveniencia de los usuarios y no constituye un aval.
Para una explicación del carácter voluntario de las normas, el significado de los
términos y expresiones específicos de la ISO relacionados con la evaluación de la
conformidad, así como información sobre la adhesión de la ISO a los principios de
la Organización Mundial del Comercio (OMC) en los Obstáculos Técnicos al
Comercio (OTC), véase www.iso.org/ iso/foreword.html.
El presente documento fue preparado por el Comité Técnico ISO/TC 309

Gobernanza de las organizaciones.
Cualquier comentario o pregunta sobre este documento debe dirigirse al

organismo nacional de normalización del usuario. La lista completa de estos
organismos puede consultarse en www.iso.org/members.html.
Este documento anula y reemplaza la norma ISO 19600:2014-10.
En esta Norma Internacional se utilizan las siguientes formas verbales:
- "deberá" indica un requisito;

- "debería" indica una recomendación;
- "puede" indica permiso:
- "puede" indica una posibilidad o una capacidad.
- La información marcada como "NOTA" sirve de orientación para
comprender o aclarar los requisitos conexos.
INTRODUCCIÓN
Las organizaciones que aspiran a tener éxito a largo plazo deben establecer y
mantener una cultura de integridad y cumplimiento, teniendo en cuenta las
necesidades y expectativas de las partes interesadas. Por consiguiente, la
integridad y el cumplimiento no sólo son la base, sino también una oportunidad,
para una organización exitosa y sostenible.
El cumplimiento es un proceso continuo y el resultado del cumplimiento de las

obligaciones de una organización.
El cumplimiento se hace sostenible incorporándolo a la cultura de la organización

y al comportamiento y la actitud de las personas que trabajan para ella. Al tiempo
que se mantiene su independencia, es preferible que la gestión del cumplimiento
se integre en los demás procesos de gestión de la organización y en sus requisitos
y procedimientos operacionales.
Un sistema eficaz de gestión del cumplimiento en toda la organización permite a
ésta demostrar su compromiso de cumplir las leyes pertinentes, incluidos los
requisitos legislativos, los códigos de la industria y las normas de la organización,
así como las normas de buena gestión empresarial, las prácticas óptimas, la ética
y las expectativas de la comunidad.
El enfoque de una organización respecto del cumplimiento está configurado por

los dirigentes que aplican los valores básicos y las normas de gobernanza
empresarial, éticas y comunitarias generalmente aceptadas. La incorporación del
cumplimiento en el comportamiento de las personas que trabajan en una
organización depende sobre todo del liderazgo a todos los niveles y de los valores
claros de una organización, así como del reconocimiento y la aplicación de
medidas para promover un comportamiento conforme. Si no es así a todos los
niveles de una organización, existe el riesgo de incumplimiento.
En varias jurisdicciones, los tribunales han tenido en cuenta el compromiso de una

organización con el cumplimiento a través de su sistema de gestión del
cumplimiento al determinar la sanción apropiada que debe imponerse por las
contravenciones de las leyes pertinentes. Por consiguiente, los órganos
reguladores y judiciales también pueden beneficiarse de este documento como
punto de referencia.
Las organizaciones están cada vez más convencidas de que aplicando valores
vinculantes y una gestión adecuada del cumplimiento, pueden salvaguardar su
integridad y evitar o reducir al mínimo el incumplimiento de las obligaciones de
cumplimiento de la organización. Por consiguiente, la integridad y el cumplimiento
efectivo son elementos clave de una gestión buena y diligente. El cumplimiento
también contribuye al comportamiento socialmente responsable de las
organizaciones.
Uno de los objetivos del presente documento es ayudar a las organizaciones a

desarrollar y difundir una cultura positiva de cumplimiento, teniendo en cuenta que
una gestión eficaz y racional de los riesgos relacionados con el cumplimiento debe
considerarse como una oportunidad que hay que perseguir y aprovechar, debido a
los diversos beneficios que proporciona a la organización.
En el presente documento se especifican los requisitos y se ofrece orientación

sobre los sistemas de gestión del cumplimiento y las prácticas recomendadas.
Tanto los requisitos como la orientación que figuran en el presente documento

tienen por objeto ser adaptables, y su aplicación puede variar según el tamaño y el
nivel de madurez del sistema de gestión del cumplimiento de una organización y
del contexto, la naturaleza y la complejidad de las actividades y los objetivos de la
organización.
Este documento es adecuado para mejorar los requisitos relacionados con el
cumplimiento en otros sistemas de gestión y para ayudar a una organización a
mejorar la gestión general de todo su cumplimiento.
Sistemas de gestión del cumplimiento - Requisitos con orientación para su uso
1 Alcance
En este documento se especifican los requisitos y se dan directrices para

establecer, desarrollar, aplicar, evaluar, mantener y mejorar un sistema eficaz de
gestión del cumplimiento dentro de una organización.
Este documento es aplicable a todos los tipos de organizaciones,

independientemente del tipo, el tamaño y la naturaleza de la actividad, así como
de que la organización pertenezca al sector público, privado o sin fines de lucro.
Todos los requisitos especificados en este documento que se refieren a un órgano

rector se aplican a la alta dirección en los casos en que una organización no tiene
un órgano rector como función separada.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
A los efectos del presente documento, se aplican los siguientes términos y

definiciones.
La ISO y la CEI mantienen bases de datos terminológicas para su uso en la

normalización en las siguientes direcciones:
3.1
organización
persona o grupo de personas que tiene sus propias funciones con

responsabilidades, autoridades y relaciones para lograr sus objetivos (3.8)
Nota 1 de la entrada: El concepto de organización incluye, entre otras cosas, a

las empresas unipersonales, las sociedades, las firmas, las empresas, las
autoridades, las asociaciones, las organizaciones benéficas o las instituciones, o
parte o combinación de ellas, estén o no constituidas en sociedad, sean públicas o
privadas.
3.2
parte interesada (término preferido) parte interesada (término admitido)
persona u organización (3.1) que puede afectar, ser afectada o percibir que se ve
afectada por una decisión o actividad
3.3
requisito
necesidad o expectativa que se declara, generalmente implícita u obligatoria
Nota 1 a la entrada: Por "generalmente implícito" se entiende que es costumbre o

práctica común para la organización y las partes interesadas que la necesidad o
expectativa que se está considerando esté implícita.
Nota 2 de la entrada: Un requisito especificado es el que se declara, por ejemplo,

en la información documentada.
3.4
sistema de gestión
conjunto de elementos interrelacionados o que interactúan entre sí de una
organización (3.1) para establecer políticas (3.7) y objetivos (3.8) y procesos (3.12)
para lograr esos objetivos
Nota 1 a la entrada: Un sistema de gestión puede ocuparse de una o varias

disciplinas.
Nota 2 de la entrada: Los elementos del sistema incluyen la estructura de la
organización, las funciones y responsabilidades, la planificación y el
funcionamiento.
Nota 3 de la entrada: El alcance de un sistema de gestión puede incluir la

totalidad de la organización, funciones específicas e identificadas de la
organización, secciones específicas e identificadas de la organización, o una o
más funciones en un grupo de organizaciones.
3.5
la dirección superior
persona o grupo de personas que dirige y controla una organización (3.1) al más
alto nivel
Nota 1 a la entrada: La alta dirección tiene la facultad de delegar autoridad y

proporcionar recursos dentro de la organización.
Nota 2 de la entrada: Si el alcance del sistema de gestión (3.4) abarca sólo una
parte de la organización, entonces la alta dirección se refiere a quienes dirigen y
controlan esa parte de la organización.
Nota 3 de la entrada: A los efectos del presente documento, el término "alta

dirección" se refiere al nivel más alto de la gestión ejecutiva.
3.6
eficacia
medida en que se realizan las actividades planificadas y se logran los resultados
previstos
3.7
política
las intenciones y la dirección de una organización (3.1), tal como las exprese
formalmente su dirección superior (3.5) y/o su órgano rector (3.22)
3.8
objetivo
resultado a alcanzar
Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operacional.
Nota 2 de la entrada: Los objetivos pueden estar relacionados con diferentes

disciplinas (como las metas financieras, de salud y seguridad, y ambientales) y
pueden aplicarse a diferentes niveles (como el estratégico, el de toda la
organización, el de proyectos, el de productos y el de procesos (3.12).
Nota 3 de la entrada: Un objetivo puede expresarse de otras maneras, por

ejemplo, como un resultado previsto, un propósito, un criterio operacional, un
objetivo de cumplimiento o mediante el uso de otras palabras con un significado
similar (por ejemplo, finalidad, meta u objetivo).
Nota 4 de la entrada: En el contexto de los sistemas de gestión del cumplimiento,

los objetivos de cumplimiento son establecidos por la organización, en
consonancia con la política de cumplimiento, para lograr resultados específicos.
3.9
riesgo
efecto de la incertidumbre
Nota 1 a la entrada: Un efecto es una desviación de lo esperado - positivo o

negativo.
Nota 2 de la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia

de información relacionada con un acontecimiento, su consecuencia o
probabilidad, o su comprensión o conocimiento.
Nota 3 de la entrada: El riesgo se caracteriza a menudo por la referencia a los

posibles "acontecimientos" (definidos en la Guía ISO 73) y "consecuencias"
(definidas en la Guía ISO 73), o a una combinación de éstos.
Nota 4 de la entrada: El riesgo suele expresarse en términos de una combinación

de las consecuencias de un evento (incluidos los cambios en las circunstancias) y
la "probabilidad" asociada (según se define en la Guía ISO 73) de que ocurra.
3.10
competencia
capacidad de aplicar los conocimientos y las técnicas para lograr los resultados
previstos
3.11
información documentada
información que debe controlar y mantener una organización (3.1) y el medio en
que se contiene
Nota 1 a la entrada: La información documentada puede estar en cualquier

formato y medio, y de cualquier fuente.
Nota 2 de la entrada: La información documentada puede referirse a:
- el sistema de gestión (3.4), incluidos los procesos conexos (3.12);

- la información creada para que la organización funcione (documentación);
- pruebas de los resultados obtenidos (registros).
3.12
proceso
conjunto de actividades interrelacionadas o que interactúan entre sí, que
transforma los insumos en productos
3.13
rendimiento
resultado medible
Nota 1 a la entrada: El rendimiento puede estar relacionado con conclusiones

cuantitativas o cualitativas.
Nota 2 de la entrada: El rendimiento puede estar relacionado con la gestión de
actividades, procesos (3.12), productos (incluidos los servicios), sistemas u
organizaciones (3.1)
3.14
subcontratar (verbo)
hacer un arreglo en el que una organización externa (3.1) realice parte de la
función o proceso de una organización (3.11)
Nota 1 a la entrada: Una organización externa queda fuera del ámbito del sistema
de gestión (3.4), aunque la función o el proceso subcontratado esté dentro del
ámbito.
3.15
supervisión
determinar el estado de un sistema, un proceso (3.12) o una actividad
Nota 1 a la entrada: Para determinar el estado, puede ser necesario comprobar,

supervisar u observar críticamente.
3.16
medición
proceso (3.12) para determinar un valor
3.17
auditoría
proceso sistemático, independiente y documentado (3.12) para obtener pruebas
de auditoría y evaluarlas objetivamente para determinar el grado de cumplimiento
de los criterios de auditoría
Nota 1 a la entrada: Una auditoría puede ser interna (primera parte) o externa
(segunda o tercera parte), y puede ser una auditoría combinada (que combina dos
o más disciplinas).
Nota 2 de la entrada: Una auditoría interna es realizada por la propia
organización, o por una parte externa en su nombre.
Nota 3 de la entrada: Las "pruebas de auditoría" y los "criterios de auditoría" se
definen en la norma ISO 19011.
Nota 4 de la entrada: La independencia puede demostrarse por la ausencia de
responsabilidad en la actividad que se está auditando o por la ausencia de
prejuicios y conflictos de intereses.
3.18
conformidad
cumplimiento de un requisito (3.3)
3.19
no conformidad
incumplimiento de un requisito (3.3)
Nota 1 de la entrada: Una falta de conformidad no es necesariamente un

incumplimiento (3.28).
3.20
medidas correctivas
acción para eliminar la causa o causas de una falta de conformidad (3.19) o de un
incumplimiento (3.28) y para evitar que se repita
3.21
mejora continua
actividad recurrente para mejorar el rendimiento (3.13)
3.22
órgano de gobierno
Persona o grupo de personas que tiene la responsabilidad y la autoridad últimas
de las actividades, el gobierno y las políticas de una organización (3.1) y a la que
la alta dirección (3.5) rinde cuentas y por la que la alta dirección debe rendir
cuentas
Nota 1 a la entrada: No todas las organizaciones, en particular las pequeñas,

tendrán un órgano rector separado de la alta dirección.
Nota 2 de la entrada: Un órgano rector puede incluir, entre otros, una junta
directiva, comités de la junta, junta de supervisión o fideicomisarios.
3.23
personal
individuos en una relación reconocida como relación de trabajo en la legislación o
la práctica nacionales, o en cualquier relación contractual que dependa de su
actividad de la organización (3.1)
3.24
función de cumplimiento
Persona o grupo de personas con responsabilidad y autoridad para el
funcionamiento del cumplimiento (3.27) sistema de gestión (3.4)
Nota 1 de la entrada: Preferentemente se asignará una persona a la supervisión
del sistema de gestión del cumplimiento.
3.25
riesgo de cumplimiento
probabilidad de que ocurra y las consecuencias del incumplimiento (3.17) de la
obligaciones de cumplimiento (3.26)
3.26
obligación de cumplimiento
requisitos (3.3) que una organización (3.1) debe cumplir obligatoriamente, así
como los que una organización (3.1) elige voluntariamente cumplir con
3.27
cumplimiento
el resultado del cumplimiento de todas las obligaciones de cumplimiento de la
organización (3.26)
3.28
incumplimiento
incumplimiento de una obligación de cumplimiento (3.26)
3.29
cultura de cumplimiento
los valores, la ética y las creencias que existen en toda una organización (3.1) e
interactúan con las estructuras y los sistemas de control de la organización para
producir normas de comportamiento que favorezcan el cumplimiento (3.27)
resultados
3.30
conducta
los comportamientos y las prácticas de una organización que influyen en los
resultados para los clientes, los empleados, los proveedores, los mercados y las
comunidades
3.32
tercera parte.
persona u organismo independiente de la organización (3.1)
Nota 1 de la entrada: Todos los asociados comerciales son terceros, pero no todos
los terceros son asociados comerciales
3.33
procedimiento
manera especificada para llevar a cabo una actividad o proceso (3.12)
4 Contexto de la organización
4.1 Comprensión de la organización y su contexto
La organización determinará las cuestiones externas e internas que sean

pertinentes para su propósito y que afecten a su capacidad para lograr los
resultados previstos de su sistema de gestión del cumplimiento.
Para ello, la organización considerará una amplia gama de cuestiones, entre ellas:
- el contexto jurídico y reglamentario;

- los contextos social, cultural y ambiental;
- la tecnología;
- la situación económica;
- las estructuras, políticas, procedimientos, procesos y recursos internos;
- el modelo de negocio, incluyendo la estrategia, la naturaleza, el tamaño y la
complejidad de escala y la sostenibilidad de las actividades y operaciones
de la organización;
- la naturaleza y el alcance de las relaciones comerciales con terceros;
- la cultura de cumplimiento actual.
4.2 Comprensión de las necesidades y expectativas de las partes

interesadas
La organización determinará:
- las partes interesadas que son relevantes para el sistema de gestión del
cumplimiento;
- los requisitos pertinentes de esas partes interesadas.
4.3 Determinación del alcance del sistema de gestión del cumplimiento
La organización determinará los límites y la aplicabilidad del sistema de gestión

del cumplimiento para establecer su alcance.
NOTA El alcance del sistema de gestión del cumplimiento tiene por objeto aclarar
los principales riesgos de cumplimiento a los que se enfrenta la organización y los
límites geográficos y/u organizativos a los que se aplicará el sistema de gestión
del cumplimiento, especialmente si la organización forma parte de una
organización más grande.
Al determinar este alcance, la organización deberá considerar:
- las cuestiones externas e internas a las que se hace referencia en el punto

4.1;
- los requisitos mencionados en 4.2 y 6.3.
El alcance deberá estar disponible como información documentada.

4.4 Sistema de gestión de la conformidad
La organización establecerá, aplicará, evaluará, mantendrá y mejorará
continuamente un sistema de gestión del cumplimiento, incluidos los procesos
necesarios y sus interacciones, de conformidad con los requisitos del presente
documento.
El sistema de gestión del cumplimiento reflejará los valores, los objetivos, la

estrategia y los riesgos de cumplimiento de la organización, teniendo en cuenta el
contexto de la misma (véase 4.1).
5 Liderazgo
5.1 Liderazgo y compromiso
Órgano rector y alta dirección
El órgano rector y la alta dirección demostrarán su liderazgo y compromiso con

respecto al sistema de gestión del cumplimiento mediante:
- asegurando que la política de cumplimiento y los objetivos de cumplimiento

se establezcan y sean compatibles con la dirección estratégica de la
organización;
- asegurando la integración de los requisitos del sistema de gestión de la
conformidad en los procesos comerciales de la organización;
- garantizar que se disponga de los recursos necesarios para el sistema de
gestión del cumplimiento;
- comunicar la importancia de la gestión eficaz del cumplimiento y de la
conformidad con los requisitos del sistema de gestión del cumplimiento;
- garantizar que el sistema de gestión de la conformidad logre los resultados
previstos;
- dirigir y apoyar a las personas para que contribuyan a la eficacia del
sistema de gestión del cumplimiento;
- promover la mejora continua;
- apoyar a otras funciones de gestión pertinentes para demostrar su liderazgo
en sus áreas de responsabilidad;
NOTA La referencia a "actividades" en el presente documento puede interpretarse

en sentido amplio como aquellas actividades que son fundamentales para los
propósitos de la existencia de la organización.
El órgano rector y la alta dirección:
- establecer y mantener los valores de la organización;

- asegurar que se desarrollen y apliquen políticas, procedimientos y procesos
para lograr los objetivos de cumplimiento;
- asegurarse de que se les informe oportunamente sobre cuestiones de
cumplimiento, incluidos los casos de incumplimiento, y garantizar que se
adopten las medidas adecuadas;
- garantizar que se mantenga el compromiso de cumplimiento y que el
incumplimiento y la conducta no conforme se traten de forma adecuada;
- asegurarse de que las responsabilidades de cumplimiento se incluyan en
las descripciones de los puestos de trabajo, según proceda;
- nombrar o designar una función de cumplimiento (véase 5.3.2).
5.1.1. Cultura de cumplimiento
La organización desarrollará, mantendrá y promoverá una cultura de cumplimiento

en todos los niveles de la organización.
El órgano rector, la alta dirección y la administración demostrarán un compromiso

activo, visible, coherente y sostenido hacia una norma común de comportamiento
y conducta que se requiere en toda la organización.
La alta dirección debe fomentar un comportamiento que cree y apoye el

cumplimiento y debe prevenir y no tolerar un comportamiento que comprometa el
cumplimiento.
5.1.2. Gobierno de cumplimiento
El órgano rector y la alta dirección se asegurarán de que se apliquen los

siguientes principios:
- acceso directo de la función de cumplimiento al órgano de gobierno;

- independencia de la función de cumplimiento;
- autoridad y competencia apropiadas de la función de cumplimiento.
NOTA 1 El acceso directo podría incluir: la línea directa de información al órgano

rector, la presentación de informes periódicos al órgano rector y la participación en
sus reuniones.
NOTA 2 Por independencia se entiende la ausencia de toda interferencia y/o

presión indebida en el funcionamiento de la función de cumplimiento.
5.2 Política
El órgano rector y la alta dirección establecerán una política de cumplimiento que:
a) sea apropiada para el propósito de la organización;

b) Proporcione un marco para establecer los objetivos de cumplimiento;
c) incluya el compromiso de satisfacer los requisitos aplicables;
d) incluya un compromiso de mejora continua del sistema de gestión de la
conformidad;
La política de conformidad deberá:
a) Estar alineada con los valores, objetivos y estrategia de la organización;

b) Requerir el cumplimiento de las obligaciones de cumplimiento de la
organización;
c) apoyar los principios de gobernanza del cumplimiento de conformidad con la
cláusula 5.1.3;
d) exponer las consecuencias del incumplimiento de las obligaciones de la
organización en materia de cumplimiento de las políticas, procedimientos y
procesos;
e) alentar la presentación de inquietudes y prohibir cualquier forma de represalia;
f) estar redactado en un lenguaje sencillo para que todo el personal pueda
comprender fácilmente los principios y la intención;
g) ser aplicadas y cumplidas de manera apropiada.
La política de cumplimiento deberá:
a) estar disponible como información documentada;

b) ser comunicada dentro de la organización;
c) estar disponible para las partes interesadas, según proceda.
5.3 Funciones, responsabilidades y autoridades
5.3.1 Órgano rector y alta dirección
El órgano rector y la alta dirección se asegurarán de que se asignen y se

comuniquen dentro de la organización las responsabilidades y autoridades para
las funciones pertinentes.
El órgano rector y la alta dirección asignarán la responsabilidad y la autoridad

para:
a) Asegurar que el sistema de gestión de la conformidad se ajuste a los requisitos

del presente documento;
b) informar sobre el desempeño del sistema de gestión de cumplimiento al órgano
rector y a la alta dirección.
El órgano rector deberá:
a) asegurar que la alta gerencia se mide en función del logro de los objetivos de
cumplimiento;
b) ejercerá la supervisión de la alta dirección en lo que respecta al funcionamiento
del sistema de gestión del cumplimiento.
La alta dirección deberá:

a) asignar recursos adecuados y apropiados para establecer, desarrollar,
implementar, evaluar, mantener y mejorar el sistema de gestión de cumplimiento;
b) garantizar que se establezcan sistemas eficaces de información oportuna sobre
el desempeño en materia de cumplimiento;
c) asignar la responsabilidad de la presentación de informes (véase 9.1.4) sobre el
sistema de gestión del cumplimiento al órgano rector y a la alta dirección;
d) asegurar la alineación entre las metas estratégicas y operacionales y las
obligaciones de cumplimiento;
e) establecer y mantener mecanismos de rendición de cuentas que incluyan
medidas y consecuencias disciplinarias; f) garantizar la integración de la actuación
en materia de cumplimiento en las evaluaciones de la actuación profesional del
personal.
5.3.2 Función de cumplimiento
La función de cumplimiento será responsable del funcionamiento del sistema de

gestión del cumplimiento, incluyendo lo siguiente
La función de cumplimiento será responsable de:
- facilitar la identificación de las obligaciones de cumplimiento;

- la evaluación del riesgo de cumplimiento (véase la cláusula 6.4);
- asegurar que las obligaciones de cumplimiento se integren en las políticas;
- establecer un sistema de información y documentación del cumplimiento;
- establecer indicadores de desempeño de cumplimiento;
- el establecimiento de un sistema para plantear preocupaciones y asegurar que
éstas se aborden.
La función de cumplimiento será responsable de la vigilancia:
- que las responsabilidades para lograr las obligaciones de cumplimiento

identificadas se asignen adecuadamente en toda la organización;
- que las obligaciones de cumplimiento se integren en los procedimientos y
procesos;
- que todo el personal pertinente reciba la formación necesaria. La función de
cumplimiento será responsable de:
- supervisar y medir el rendimiento del cumplimiento;
- analizar y evaluar el rendimiento del sistema de gestión de la conformidad para
identificar cualquier necesidad de medidas correctivas;
- garantizar que el sistema de gestión de la conformidad se revise a intervalos
planificados (véase 9.2 y 9.3). La función de cumplimiento deberá
- proporcionar al personal acceso a los recursos sobre políticas, procesos y
procedimientos de cumplimiento;
- asesorar a la organización sobre cuestiones relacionadas con el cumplimiento.
NOTA Los deberes específicos de la función de cumplimiento no eximen al resto

del personal de sus responsabilidades en materia de cumplimiento.
La organización se asegurará de que se dé acceso a la función de cumplimiento:
- a los altos responsables de la adopción de decisiones y la oportunidad de
contribuir en las primeras fases de los procesos de adopción de decisiones;
- todos los niveles de la organización;
- todo el personal, la información documentada y los datos necesarios;
- el asesoramiento de expertos sobre las leyes, reglamentos, códigos y normas de
la organización pertinentes.
5.2.1 Gestión
La administración será responsable del cumplimiento, dentro de su área de

responsabilidad, de:
- cooperando y apoyando la función de cumplimiento y alentando al personal a

hacer lo mismo;
- asegurarse de que su personal cumpla con las obligaciones, políticas,
procedimientos y procesos de cumplimiento de la organización;
- identificando y comunicando los riesgos de cumplimiento en sus operaciones;
- integrar las obligaciones de cumplimiento en las prácticas y procedimientos
comerciales existentes en sus áreas de responsabilidad;
- asistir y apoyar las actividades de capacitación en materia de cumplimiento;
- desarrollar la conciencia del personal sobre las obligaciones de cumplimiento y
dirigirlo para que cumpla con los requisitos de capacitación y competencia;
- alentar a su personal a plantear sus preocupaciones en materia de cumplimiento
y apoyarlos y evitar cualquier forma de represalia;
- participar activamente en la gestión y resolución de incidentes y cuestiones
relacionados con el cumplimiento, según sea necesario;
- asegurar que una vez que se identifique la necesidad de adoptar medidas
correctivas, se recomienden y apliquen las medidas correctivas apropiadas.
5.2.2 Personal
Todo el personal lo hará:
- adherirse a las obligaciones, políticas, procedimientos y procesos de

cumplimiento de la organización;
- informar de las preocupaciones, problemas y fallos de cumplimiento;
- participar en la capacitación según sea necesario.
6 Planificación
6.1 Medidas para hacer frente a los riesgos y oportunidades
Al planificar el sistema de gestión del cumplimiento, la organización considerará

las cuestiones mencionadas en 4.1 y los requisitos mencionados en 4.2 y
determinará los riesgos y oportunidades que deben abordarse:
- dar garantías de que el sistema de gestión del cumplimiento puede lograr
los resultados previstos;
- prevenir o reducir los efectos no deseados;
- lograr una mejora continua.
Al planificar el sistema de gestión del cumplimiento, la organización considerará
- sus objetivos de cumplimiento (véase 6.2);

- las obligaciones de cumplimiento identificadas (véase 6.3) y
- los resultados de la evaluación del riesgo de cumplimiento (véase 6.4).
La organización planificará:
a) acciones para abordar estos riesgos y oportunidades;

b) cómo hacerlo:
- integrar y aplicar las acciones en los procesos de su sistema de gestión del

cumplimiento;
- evaluar la eficacia de estas acciones.
6.2 Objetivos de cumplimiento y planificación para alcanzarlos
La organización establecerá objetivos de cumplimiento en las funciones y niveles

pertinentes.
Los objetivos de cumplimiento deberán:
a) Ser coherentes con la política de cumplimiento;

b) ser mensurables (si es posible);
c) tener en cuenta los requisitos aplicables;
d) ser supervisados;
e) ser comunicados;
f) ser actualizado según proceda.
La organización deberá conservar información documentada sobre los objetivos

de cumplimiento.
Al planificar cómo lograr sus objetivos de cumplimiento, la organización debe

determinar:
- qué se hará;
- qué recursos se necesitarán;
- quién será responsable;
- cuándo se completará;
- cómo se evaluarán los resultados.
6.3 Obligaciones de cumplimiento
La organización identificará sistemáticamente sus obligaciones de cumplimiento

resultantes de sus actividades productos y servicios, y evaluar su impacto en sus
operaciones.
La organización dispondrá de procesos para:
a) Identificar las obligaciones de cumplimiento nuevas y modificadas para

garantizar el cumplimiento continuo;
b) evaluar el impacto de los cambios identificados e implementar cualquier cambio
necesario en la gestión de las obligaciones de cumplimiento.
La organización debe mantener información documentada de sus obligaciones de

cumplimiento.
6.4. Evaluación de los riesgos de cumplimiento
La organización identificará, analizará y evaluará sus riesgos de cumplimiento

sobre la base de una evaluación de los riesgos de cumplimiento.
La organización debe identificar los riesgos de cumplimiento relacionando sus

obligaciones de cumplimiento con sus actividades, productos, servicios y aspectos
pertinentes de sus operaciones.
Los riesgos de cumplimiento se evaluarán periódicamente y siempre que se

produzcan cambios materiales en las circunstancias o el contexto de la
organización.
La organización debe conservar información documentada sobre la evaluación de

riesgos de cumplimiento y sobre las acciones para abordar sus riesgos de
cumplimiento.
7 Apoyo
7.1 Recursos
La organización determinará y proporcionará los recursos necesarios para el

establecimiento, la aplicación, el mantenimiento y la mejora continua del sistema
de gestión del cumplimiento.
7.2 Competencia
7.2.1 Generalidades
La organización deberá:
- determinar la competencia necesaria de la(s) persona(s) que realice(n) un
trabajo bajo su control que afecte a su desempeño en materia de
cumplimiento;
- asegurarse de que esas personas sean competentes sobre la base de una
educación, capacitación o experiencia apropiadas;
- cuando proceda, tomará medidas para adquirir la competencia necesaria y
evaluará la eficacia de las medidas adoptadas;
- conservar la información documentada apropiada como prueba de su
competencia.
NOTA Las medidas aplicables pueden incluir, por ejemplo, la capacitación, la

tutoría o la reasignación de personas actualmente empleadas; o la contratación de
personas competentes.
7.2.2 Proceso de empleo
En relación con todo su personal, la organización desarrollará, establecerá,

aplicará y mantendrá procesos tales que:
a) Las condiciones de empleo requieran que el personal cumpla las obligaciones,

políticas, procedimientos y procesos de cumplimiento de la organización;
b) en un plazo razonable a partir del comienzo de su empleo, el personal reciba
una copia de la política de cumplimiento y la capacitación en relación con esa
política, o tenga acceso a ella;
c) se tomarán las medidas disciplinarias apropiadas contra el personal que infrinja
las obligaciones, políticas, procedimientos y procesos de cumplimiento de la
organización.
La organización considerará -como parte del proceso de empleo- los riesgos de

cumplimiento que presente el personal y aplicará los procedimientos de diligencia
debida que sean necesarios antes de la contratación y de cualquier ascenso.
La organización pondrá en práctica un proceso que prevea un examen periódico

de los objetivos de rendimiento, las primas por rendimiento y otros incentivos, a fin
de verificar que existen medidas apropiadas para evitar que se fomente el
incumplimiento.
7.2.3 Capacitación
La organización proporcionará al personal pertinente capacitación de manera

regular, desde el momento en que empiece a trabajar y a intervalos planificados
determinados por la organización.
La capacitación será:
a) adecuada a las funciones del personal y a los riesgos de cumplimiento a los que
está expuesto el personal;
b) se evaluará su eficacia;
c) se revisará periódicamente.
Teniendo en cuenta los riesgos de cumplimiento identificados, la organización

debe garantizar la aplicación de procedimientos que aborden la sensibilización y la
capacitación en materia de cumplimiento para los terceros que actúen en su
nombre y que puedan plantear un riesgo de cumplimiento para la organización.
Los registros de capacitación se conservarán como información documentada.
7.3 Concienciación
Las personas que realicen trabajos bajo el control de la organización deberán

estar al tanto:
- la política de cumplimiento;
- su contribución a la eficacia del sistema de gestión del cumplimiento,
incluidos los beneficios de un mejor rendimiento del cumplimiento;
- las consecuencias de no cumplir con los requisitos del sistema de gestión
del cumplimiento.
Las personas que realicen trabajos bajo el control de la organización deberán ser
conscientes de:
- los medios y procedimientos para plantear preocupaciones en materia de

cumplimiento (véase 8.3);
- el apoyo a la cultura de cumplimiento.
7.4 Comunicación
La organización determinará las comunicaciones internas y externas pertinentes

para el sistema de gestión del cumplimiento, entre ellas:
a) sobre lo que comunicará;

b) cuándo comunicar;
c) con quién se comunicará;
d) cómo comunicarse.
La organización considerará los aspectos de la diversidad y las posibles barreras

al considerar sus necesidades de comunicación.
La organización se asegurará de que se tengan en cuenta las opiniones de las

partes interesadas al establecer su(s) proceso(s) de comunicación.
Al establecer su(s) proceso(s) de comunicación, la organización deberá:

- incluyen la comunicación sobre su cultura de cumplimiento, los objetivos de
cumplimiento y las obligaciones;
- garantizar que la información sobre el cumplimiento que se ha de comunicar
es coherente con la información generada dentro del sistema de gestión del
cumplimiento y es fiable.
La organización responderá a las comunicaciones pertinentes sobre su sistema de

gestión del cumplimiento.
La organización conservará la información documentada como prueba de sus

comunicaciones, según proceda.
La organización deberá:
- Comunicar internamente la información pertinente al sistema de gestión del

cumplimiento entre los diversos niveles y funciones de la organización,
incluidos los cambios en el sistema de gestión del cumplimiento, según
proceda;
- asegurar que su(s) proceso(s) de comunicación permita(n) al personal
contribuir a la mejora continua del sistema de gestión del cumplimiento.
La organización comunicará externamente la información pertinente al sistema de

gestión del cumplimiento, según lo establecido por el (los) proceso(s) de
comunicación de la organización, e incluirá la comunicación sobre su cultura de
cumplimiento, los objetivos de cumplimiento y las obligaciones.
7.1 Información documentada
7.1.1 Generalidades
El sistema de gestión del cumplimiento de la organización incluirá:
a) la información documentada que se requiere en el presente documento;

b) la información documentada que la organización determine como necesaria
para la eficacia del sistema de gestión del cumplimiento.
NOTA El alcance de la información documentada para un sistema de gestión de

cumplimiento puede diferir de una organización a otra debido a:
- el tamaño de la organización y su tipo de actividades, procesos, productos y

servicios;
- la complejidad de los procesos y sus interacciones;
- la competencia de las personas.
7.1.2 Creación y actualización

Al crear y actualizar la información documentada, la organización se asegurará de
que sea apropiada:
- la identificación y descripción (por ejemplo, un título, fecha, autor o número

de referencia);
- formato (por ejemplo, idioma, versión de software, gráficos) y medios (por
ejemplo, papel, electrónico);
- examen y aprobación de la idoneidad y la adecuación.
7.1.3 Control de la información documentada
La información documentada requerida por el sistema de gestión del cumplimiento

y por el presente documento se controlará para asegurar:
a) Que esté disponible y sea adecuada para su uso, donde y cuando sea
necesaria;
b) esté adecuadamente protegida (por ejemplo, contra la pérdida de
confidencialidad, el uso indebido o la pérdida de integridad).
Para el control de la información documentada, la organización se ocupará de las

siguientes actividades, según proceda:
- distribución, acceso, recuperación y utilización;

- el almacenamiento y la conservación, incluida la preservación de la
legibilidad;
- el control de los cambios (por ejemplo, el control de versiones);
- retención y disposición.
La información documentada de origen externo que la organización determine que

es necesaria para la planificación y el funcionamiento del sistema de gestión del
cumplimiento se identificará, según proceda, y se controlará.
NOTA El acceso puede implicar una decisión relativa al permiso para ver la
información documentada solamente, o el permiso y la autoridad para ver y
cambiar la información documentada.
8 Operación
8.1 Planificación y control de las operaciones
La organización planificará, aplicará y controlará los procesos necesarios para

cumplir los requisitos, y para aplicar las medidas determinadas en 6.1, por:
- estableciendo criterios para los procesos;

- aplicando el control de los procesos de acuerdo con los criterios;
- manteniendo la información documentada en la medida necesaria para
tener la confianza de que los procesos se han llevado a cabo según lo
previsto.
La organización controlará los cambios planificados y examinará las

consecuencias de los cambios no intencionales, adoptando medidas para mitigar
cualquier efecto adverso, según sea necesario.
La organización se asegurará de que los procesos subcontratados se controlen y

supervisen.
NOTA La contratación externa de las operaciones de una organización no exime a

ésta de sus responsabilidades legales ni de sus obligaciones de cumplimiento.
La organización se asegurará de que los procesos de terceros sean controlados y

vigilados.
La organización evaluará los riesgos de cumplimiento relacionados con los

procesos subcontratados y de terceros.
8.2 Establecimiento de controles y procedimientos
La organización aplicará controles para gestionar sus obligaciones de

cumplimiento y los riesgos de cumplimiento asociados. Estos controles se
mantendrán, revisarán periódicamente y se pondrán a prueba para garantizar su
eficacia permanente.
NOTA Poner a prueba los controles significa realizar un ejercicio diseñado para
ver si el control hace lo que se pretendía o no se puede pasar por alto o es
realmente eficaz para reducir el impacto o la probabilidad del riesgo.
8.3 Planteamiento de inquietudes
La organización establecerá, aplicará y mantendrá un proceso para alentar y

permitir la notificación -en caso de que haya motivos razonables para creer que la
información es verídica- de los intentos, las sospechas o las violaciones reales de
la política de cumplimiento o de las obligaciones de cumplimiento.
Este proceso deberá:
- ser visible y accesible en toda la organización;

- tratará los informes de forma confidencial;
- aceptar informes anónimos;
- protegerá a los que hacen los informes de las represalias;
- permitir al personal recibir asesoramiento.
La organización se asegurará de que todo el personal conozca los procedimientos
de presentación de informes, sus derechos y protecciones y pueda utilizarlos.
8.4 Procesos de investigación
La organización desarrollará, establecerá, aplicará y mantendrá procesos para

evaluar, valorar, investigar y cerrar los informes sobre los casos de incumplimiento
presunto o real.
Se regirán por los principios del debido proceso, el derecho a ser escuchado y el
derecho a un proceso de toma de decisiones justo e imparcial.
Los procesos de investigación se llevarán a cabo de manera independiente y sin

conflicto de intereses por personal competente.
La organización utilizará el resultado de las investigaciones para mejorar (véase la

cláusula 10) el sistema de gestión del cumplimiento, según proceda.
La organización informará periódicamente sobre el número y los resultados de las

investigaciones al órgano rector o a la alta dirección.
La organización conservará información documentada sobre la investigación.
9 Evaluación del desempeño
9.1 Vigilancia, medición, análisis y evaluación
9.1.1 Generalidades
La organización supervisará el sistema de gestión del cumplimiento para asegurar

que se logren los objetivos de cumplimiento.
La organización debe determinar:
a) qué es lo que debe ser supervisado y medido;

b) los métodos de vigilancia, medición, análisis y evaluación, según proceda, para
asegurar resultados válidos;
c) cuándo se realizará la supervisión y la medición;
d) cuándo se analizarán, evaluarán y comunicarán los resultados de la vigilancia y
la medición.
La organización conservará la información documentada apropiada como prueba

de los resultados.
La organización debe evaluar el rendimiento del cumplimiento y la eficacia del

sistema de gestión del cumplimiento.
9.1.2 Fuentes de retroalimentación sobre los resultados del cumplimiento
La organización establecerá, aplicará, evaluará y mantendrá procesos para buscar

y recibir información sobre sus resultados en materia de cumplimiento de diversas
fuentes.
La información se analizará y evaluará críticamente para identificar las causas

fundamentales del incumplimiento, asegurar que se tomen las medidas adecuadas
y reflejar esta información en la evaluación periódica del riesgo requerida en la
sección 6.4.
9.1.3 Elaboración de indicadores
La organización deberá desarrollar un conjunto de indicadores apropiados que le

ayuden a evaluar el logro de sus objetivos y a valorar su rendimiento en materia
de cumplimiento.
9.1.4 Informes sobre el cumplimiento
La organización establecerá, aplicará y mantendrá procesos para la presentación

de informes sobre el cumplimiento de las normas a fin de garantizarlo:
a) se definan criterios apropiados para la presentación de informes;

b) se establezcan plazos para la presentación de informes periódicos;
Los informes también deben tener presente:
a) Se aplica un sistema de notificación de excepciones que facilita la presentación

de informes ad hoc;
b) se apliquen sistemas y procesos para garantizar la exactitud y la exhaustividad
de la información;
c) se proporcione información exacta y completa a las funciones o áreas correctas
de la organización para permitir la adopción oportuna de medidas preventivas,
correctivas y correctivas.
Los informes que la función de cumplimiento emita al órgano rector o a la alta

dirección se protegerán adecuadamente contra toda alteración.
9.1.5 Mantenimiento de registros
Se conservarán registros exactos y actualizados de las actividades de

cumplimiento de la organización para ayudar en el proceso de vigilancia y examen
y demostrar la conformidad con el sistema de gestión del cumplimiento.
9.2 Auditoría interna

9.2.1 La organización llevará a cabo auditorías internas a intervalos planificados
para proporcionar información sobre si el sistema de gestión del cumplimiento:
a) se ajusta a:
1) los propios requisitos de la organización para su sistema de gestión de la

conformidad;
2) los requisitos de este documento;
3) se aplica y mantiene eficazmente.
9.2.2 La organización deberá:
a) planificar, establecer, aplicar y mantener un programa o programas de auditoría

que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de
planificación y la presentación de informes, en los que se tendrá en cuenta la
importancia de los procesos en cuestión y los resultados de auditorías anteriores;
b) definirá los criterios y el alcance de cada auditoría;
c) seleccionar a los auditores y realizar las auditorías para garantizar la objetividad
y la imparcialidad del proceso de auditoría;
d) garantizar que los resultados de las auditorías se comuniquen a la
administración pertinente;
e) conservar la información documentada como prueba de la aplicación del
programa o programas de auditoría y de los resultados de la auditoría.
NOTA 1 La dirección pertinente podría incluir la función de cumplimiento, la alta

dirección y el órgano rector.
NOTA 2 La orientación sobre la auditoría de los sistemas de gestión se da en la

norma ISO 19011:2018.
9.3 Revisión de la gestión
El órgano rector y la alta dirección examinarán el sistema de gestión del

cumplimiento de la organización, a intervalos planificados, para garantizar su
continua idoneidad, adecuación y eficacia.
El examen de la gestión incluirá la consideración de:
a) El estado de las acciones de los exámenes de gestión anteriores;

b) los cambios en las cuestiones externas e internas que sean pertinentes para el
sistema de gestión del cumplimiento;
c) información sobre los resultados del cumplimiento, incluidas las tendencias en:
- las no conformidades, los incumplimientos y las medidas correctivas;
- los resultados de la vigilancia y la medición;
- resultados de la auditoría;
d) oportunidades de mejora continua.
El examen de la gestión tendrá en cuenta:
- la idoneidad de la política de cumplimiento;

- la medida en que se han cumplido los objetivos de cumplimiento;
- la adecuación de los recursos;
- la eficacia de los controles e indicadores de rendimiento existentes;
- la comunicación de las personas que plantean preocupaciones, las partes
interesadas, incluida la retroalimentación (véase 9.1.2) y las quejas;
- las investigaciones (véase 8.4);
- la eficacia del sistema de presentación de informes.
Los resultados del examen de la gestión incluirán decisiones relacionadas con las
oportunidades de mejora continua y la necesidad de introducir cambios en el
sistema de gestión del cumplimiento.
La organización conservará la información documentada como prueba de los

resultados de las revisiones de la gestión.
10 Mejora
10.1 No conformidad, incumplimiento y medidas correctivas
Cuando se produzca una no conformidad o un incumplimiento, la organización

deberá:
a) reaccionará ante la no conformidad o el incumplimiento y, según proceda:
- tomar medidas para controlarla y corregirla;

- ocuparse de las consecuencias;
b) evaluar la necesidad de adoptar medidas para eliminar la causa o causas de la

no conformidad y/o el incumplimiento, a fin de que no se repita o se produzca en
otro lugar, mediante:
- revisar la no conformidad y/o el incumplimiento;

- la determinación de las causas de la no conformidad y/o el incumplimiento;
- la determinación de si existen o pueden existir no conformidades y/o
incumplimientos similares;
-
c) aplicar cualquier medida que sea necesaria;
d) examinar la eficacia de cualquier medida correctiva adoptada;
e) realizar cambios en el sistema de gestión del cumplimiento, si es necesario.
Las medidas correctivas serán adecuadas a los efectos de las no conformidades
y/o incumplimientos encontrados.
La organización conservará la información documentada como prueba de ello:
- la naturaleza de las faltas de conformidad y/o incumplimiento y cualquier

acción subsiguiente adoptada;
- los resultados de cualquier acción correctiva.
10.1 Mejora continua
La organización deberá mejorar continuamente la idoneidad, la adecuación y la

eficacia del sistema de gestión del cumplimiento.
Cuando la organización determine la necesidad de introducir cambios en el

sistema de gestión del cumplimiento, los cambios se llevarán a cabo de forma
planificada.
La organización deberá considerar:
- el propósito de los cambios y sus posibles consecuencias;

- el diseño y la eficacia operacional del sistema de gestión del cumplimiento;
- la disponibilidad de recursos adecuados;
- la asignación o reasignación de responsabilidades y autoridades.
Anexo A
(informativo)
Orientación para la utilización del presente documento
La finalidad de la orientación que figura en el presente anexo es indicar los

enfoques y el tipo de medidas que puede adoptar una organización para aplicar su
sistema de gestión del cumplimiento. No se pretende que sea exhaustivo ni
prescriptivo, ni que una organización esté obligada a aplicar todas las sugerencias
de esta orientación para disponer de un sistema de gestión del cumplimiento que
cumpla los requisitos de este documento.
Las medidas que adopte la organización deben ser razonables en lo que respecta
a la naturaleza y el alcance de los riesgos de cumplimiento a que se enfrenta la
organización para cumplir sus obligaciones de cumplimiento.
La organización puede elegir implementar este sistema de gestión del

cumplimiento como un sistema separado, sin embargo, idealmente se
implementaría en conjunto con sus otros sistemas de gestión, tales como el de
riesgos, el de calidad, el ambiental, el de seguridad de la información, el de
seguridad de los alimentos y el de lucha contra el soborno, sólo para dar algunos
ejemplos. En ese caso, la organización puede remitirse a las normas ISO 9001,
ISO 14001, ISO/IEC 27001, ISO 22000, ISO 37001, así como a las normas ISO
26000 e ISO 31000.
A.1 Alcance
Las organizaciones de cualquier tamaño, complejidad o industria pueden aplicar

esta norma para crear un sistema de gestión del cumplimiento, siguiendo los
requisitos de la norma. Esto les permitirá comprender su contexto, las operaciones
comerciales, las obligaciones resultantes y los riesgos de cumplimiento y les
ayudará a aplicar medidas razonables, para que este contexto cumpla con sus
obligaciones. Sin embargo, se debe seguir cada uno de los requisitos del
documento. La orientación que figura en el anexo es de carácter informativo.
En la práctica, suele ser más fácil aplicar un sistema de gestión de la conformidad

conforme a esta norma, en organizaciones pequeñas, porque son menos
complejas. Las organizaciones pequeñas y medianas mejorarán sus prácticas
organizativas utilizando los principios de los requisitos de esta norma.
En el documento se hace referencia al órgano rector y a la alta dirección y se

define lo que estos términos pueden significar en diversos contextos y lugares. Al
igual que la norma puede ser utilizada por todas las organizaciones, si su
organización en particular no utiliza estos términos, entonces fíjese en la intención
de su uso: los requisitos o instrucciones se aplicarían a la persona o grupo de
personas que tienen la autoridad y responsabilidad en la cúspide de la
organización.
A.2 Referencias normativas
Este documento no tiene referencias normativas. Los usuarios pueden consultar la

bibliografía para obtener otra información y las normas de la ISO que puedan ser
pertinentes para el cumplimiento.
A.3 Términos y definiciones
En este documento se ha adoptado la "estructura de alto nivel" (HLS) elaborada

por la ISO para mejorar el alineamiento entre sus Normas Internacionales para los
sistemas de gestión. La estructura de alto nivel establece la secuencia de
cláusulas, la terminología y las definiciones comunes y el texto básico idéntico que
constituyen el núcleo de las normas de sistemas de gestión de la ISO. Esto
significa que algunas de las definiciones podrían no ser utilizadas de una manera
que le sea familiar. Considere las definiciones proporcionadas al utilizar este
documento para su aclaración.
Este enfoque común de las normas de sistemas de gestión aumenta el valor de

dichas normas para los usuarios. Es particularmente útil para las organizaciones
que deciden utilizar un solo sistema de gestión (a veces denominado "integrado")
que puede satisfacer los requisitos de dos o más SMS simultáneamente.
Las organizaciones que no hayan adoptado normas de sistemas de gestión o un

marco de gestión del cumplimiento pueden adoptar fácilmente este documento
como orientación independiente dentro de su organización.
Se puede encontrar más información sobre la estructura de la HLS y su aplicación
en documentos de acceso público sobre la HLS:
https://isotc.iso.org/livelink/livelink?func=ll&objId=1
A.4 Contexto de la organización
A.4.1 Comprensión de la organización y su contexto
La intención de la cláusula es que las organizaciones establezcan un

entendimiento de alto nivel (por ejemplo, estratégico) de las cuestiones
importantes que pueden afectar a su CMS. Los conocimientos adquiridos se
utilizan luego para orientar el enfoque de la planificación, la aplicación, el
funcionamiento y la mejora de la CMS.
Este es el proceso de revisar todo lo que sabe sobre su organización: qué hace,
dónde, cómo y por qué.
A continuación, se lleva a cabo una evaluación externa e interna de los factores

clave que podrían afectar a su organización, en términos de sus obligaciones de
cumplimiento.
El más obvio de ellos es el contexto jurídico y reglamentario en el que su

organización podría operar, pero las obligaciones o los riesgos también pueden
surgir de otros factores como se sugiere en la norma. Su organización también
debe considerar las tendencias futuras pertinentes que podrían tener
repercusiones.
Se deben tener en cuenta los factores internos. En el documento se incluyen

algunos ejemplos.
Esta lista no es exhaustiva, ya que puede haber otros que serán relevantes para
su organización.
A.4.2 Comprensión de las necesidades y expectativas de las partes

interesadas
Las organizaciones deben establecer una comprensión de las necesidades y

expectativas de las personas u organizaciones que pueden afectar, ser afectadas
o percibir que son afectadas por la CMS.
Algunas son obligatorias porque se han incorporado a requisitos formales, como:
leyes, reglamentos, permisos y licencias, acciones gubernamentales o judiciales.
Es posible que haya otros requisitos formales no incluidos aquí que se apliquen.
Otras necesidades y expectativas de una parte interesada se convierten en

obligaciones cuando se especifican, y la organización decide que las adoptará
voluntariamente mediante la celebración de un acuerdo o contrato.
Una vez que la organización ha decidido sobre ellas, se convierten en

obligaciones de cumplimiento.
Entre los ejemplos de las partes interesadas pueden citarse los siguientes:
- los gobiernos y los organismos gubernamentales,

- los organismos reguladores,
- gestión,
- empleados,
- clientes,
- contratistas,
- proveedores,
- terceros intermediarios,
- propietarios, accionistas e inversores,
- organizaciones no gubernamentales,
- sociedad y grupos comunitarios.
-
A.1.1 Determinación del alcance del sistema de gestión del cumplimiento
El ámbito de aplicación de un sistema de gestión del cumplimiento es el proceso

por el cual las organizaciones establecen los límites físicos y organizativos a los
que se aplicará el sistema de gestión del cumplimiento.
Al hacerlo, la organización tiene la libertad y flexibilidad de elegir la aplicación del

CMS dentro de toda la organización, una unidad específica o una o varias
funciones específicas dentro de una organización.
Típicamente, un CMS se implementará en toda la organización y - en el caso de

grupos de organizaciones - en todo el grupo de organizaciones para evitar el doble
rasero de la conducta ética y el cumplimiento.
El alcance debe ser razonable y proporcionado teniendo en cuenta la naturaleza y

el alcance de los riesgos de cumplimiento a que se enfrenta la organización.
La comprensión del contexto y de los requisitos de las partes interesadas

pertinentes son consideraciones a la hora de establecer el alcance de la CMS y de
determinar qué requisitos adoptará la organización.
A.1.2 Sistema de gestión del cumplimiento
Un sistema de gestión del cumplimiento es un marco que integra estructuras,

procesos y procedimientos esenciales para lograr los resultados de cumplimiento
deseados y actuar para prevenir, detectar y reaccionar ante el incumplimiento.
Típicamente, el marco de un sistema de gestión del cumplimiento es una cuestión

estructural: la infraestructura necesaria sobre la que construir este sistema.
A continuación, debe ponerse en funcionamiento mediante la aplicación de

políticas y procedimientos. El CMS entonces necesita ser mantenido y mejorado
continuamente.
Hay muchos elementos en un sistema de gestión de cumplimiento.
Algunos elementos del sistema de gestión estarán diseñados para apoyar los
comportamientos deseados, otros para prevenir comportamientos indeseables.
Algunos son únicamente para monitorear el desempeño de la organización en

cuanto al cumplimiento o proporcionar alertas si algo sale mal.
El sistema de gestión reconocerá que se producen errores y contará con procesos

para garantizar que haya una reacción adecuada. Una reacción adecuada incluirá
la reparación de los procesos y sistemas y las partes afectadas.
El sistema de gestión del cumplimiento debe basarse en los principios de buena

gobernanza, proporcionalidad, transparencia, responsabilidad y sostenibilidad.
El sistema de gestión del cumplimiento debe estar disponible en forma

documentada.
A.2 Liderazgo
A.2.1 Liderazgo y compromiso
El cumplimiento efectivo requiere un compromiso activo del órgano rector y de la

alta dirección que impregna toda la organización.
El nivel de compromiso se indica por el grado en que:
- el órgano rector y todos los niveles de gestión demuestran activamente su

compromiso con el establecimiento, desarrollo, aplicación, evaluación,
mantenimiento y mejora de un sistema de gestión del cumplimiento eficaz y
receptivo a través de sus acciones y decisiones;
- la política de cumplimiento es aprobada oficialmente por el órgano rector;
- la alta dirección asume la responsabilidad de asegurar que el compromiso
de cumplimiento de la organización se realiza plenamente;
- todos los niveles de gestión transmiten sistemáticamente al personal un
mensaje claro (demostrado con palabras y acciones) de que la organización
cumplirá sus obligaciones de cumplimiento;
- el compromiso de cumplimiento se comunica ampliamente a todo el
personal y a las partes interesadas pertinentes en declaraciones claras y
convincentes respaldadas por la acción, la función de cumplimiento cuenta
con personal con la competencia, la autoridad de estatus y la
independencia apropiadas que reflejan la importancia del cumplimiento
efectivo y tiene acceso directo al órgano rector;
- se asignan recursos adecuados para establecer, desarrollar, aplicar,
evaluar, mantener y mejorar una sólida cultura de cumplimiento mediante
actividades de sensibilización y capacitación a todo el personal y las partes
interesadas pertinentes;
- las políticas, procedimientos y procesos reflejan no sólo los requisitos
legales, sino también los códigos voluntarios y los valores básicos de la
organización; la organización asigna y exige la responsabilidad del
cumplimiento a la dirección en todos los niveles de la organización; se
recomienda un examen periódico del sistema de gestión del cumplimiento
por lo menos una vez al año; el rendimiento de la organización en materia
de cumplimiento se mejora continuamente; se adoptan medidas correctivas
de manera oportuna.
A.1.1.1 Cultura de cumplimiento
Los factores que apoyarán el desarrollo de una cultura de cumplimiento pueden

incluir:
- un claro conjunto de valores publicados;

- una gestión que se considere activamente que está implementando y
cumpliendo los valores;
- consistencia en el tratamiento de los incumplimientos, independientemente
de la posición;
- tutoría, entrenamiento y liderazgo con el ejemplo;
- una evaluación apropiada previa a la contratación del personal potencial
para funciones críticas, incluida la debida diligencia;
- un programa de inducción u orientación que haga hincapié en el
cumplimiento y los valores de la organización;
- una formación continua en materia de cumplimiento, que incluya
actualizaciones de la formación para todo el personal y las partes
interesadas pertinentes;
- una comunicación continua sobre cuestiones de cumplimiento;
- sistemas de evaluación del desempeño que consideren la evaluación del
comportamiento de cumplimiento y tengan en cuenta la remuneración por
desempeño para lograr el cumplimiento de las principales medidas y
resultados de desempeño;
- reconocimiento visible de los logros en la gestión del cumplimiento y los
resultados;
- una disciplina rápida y proporcionada en el caso de violaciones deliberadas
o negligentes de las obligaciones de cumplimiento;
- un vínculo claro entre la estrategia de la organización y las funciones
individuales, haciendo hincapié en el cumplimiento como algo esencial para
lograr los resultados de la organización;
- una comunicación abierta y apropiada sobre el cumplimiento, tanto interna
como externa.
Las pruebas de una cultura de cumplimiento se indican por el grado en que:
- se aplican los puntos anteriores;

- las partes interesadas (en particular el personal) creen que los artículos
anteriores se han aplicado;
- el personal comprende la pertinencia de las obligaciones de cumplimiento
relacionadas con sus propias actividades y las de su unidad comercial;
- las medidas correctivas para hacer frente al incumplimiento son "propiedad"
de la organización y se adoptan en todos los niveles apropiados de la
misma, según sea necesario;
- se valora el papel de la función de cumplimiento y sus objetivos;
- se capacita y alienta al personal para que plantee las preocupaciones
relativas al cumplimiento al nivel apropiado de la administración y, si es
necesario, a la alta dirección y al órgano rector.
La organización debería:
a) medir su cultura de cumplimiento;

b) solicitar la opinión de todo el personal para determinar si percibe el compromiso
de cumplimiento del órgano rector, la alta dirección y los mandos intermedios;
c) establecer planes de acción basados en los resultados de los indicadores de la
cultura de cumplimiento de la organización para anexar
A.1.1.2 Órgano rector y alta dirección
Es vital para la CMS que el órgano rector y la alta dirección demuestren de forma
clara y visible su compromiso con el logro de los objetivos del sistema de gestión
del cumplimiento.
El incumplimiento puede tener un impacto negativo en el negocio, como daños a la

reputación, pérdida de la licencia de operación y de oportunidad y un costo
significativo.
Por consiguiente, el órgano rector y la alta dirección deben reconocer la

importancia estratégica de una gestión eficaz del cumplimiento.
En la norma se enumeran muchas formas en que la dirección puede demostrar su

compromiso.
La forma más fundamental es mediante el apoyo al establecimiento y
mantenimiento de la CMS.
A.1.1.3 Gestión del cumplimiento
La gobernanza del cumplimiento se basa en los principios fundamentales que:
La función de cumplimiento tiene acceso directo al órgano rector y a la alta

dirección.
Pueden pasar por alto a los demás miembros de la organización, si lo necesitan, y

comunicarse directamente con la persona o personas con mayor autoridad para
actuar.
Esto beneficia directamente al órgano rector y a la alta dirección para que puedan
ejercer sus funciones.
Este acceso debe ser planificado y sistemático. Por ejemplo, la función de

cumplimiento podría tener un informe directo al director general y un informe de
"línea punteada" informar al Comité de Auditoría, al Presidente o a toda la junta.
La función de cumplimiento debe ser independiente y no estar en conflicto con la

estructura organizativa u otros elementos. Son libres de actuar sin interferencias.
La función de cumplimiento tiene autoridad.
La función de cumplimiento no es un puesto subalterno que pueda ser anulado o

tener informes o información alterada por los que están por encima de ellos en
autoridad.
La función de cumplimiento puede dirigir a otro personal según sea necesario.
La función de cumplimiento debe tener una "voz en la mesa" para defender y

plantear cualquier preocupación sobre el cumplimiento.
La función de cumplimiento cuenta con los recursos adecuados para apoyar a la

organización a llevar a cabo el trabajo y las responsabilidades necesarias de la
CMS sin restricciones, incluyendo el acceso a la tecnología para permitir que la
CMS sea completa y apoye eficazmente a la organización en el logro de sus
objetivos de cumplimiento.
A.1.1 Política de cumplimiento
A.1.1.1 Generalidades
La política de cumplimiento establece los principios generales y el compromiso de

acción para que una organización logre el cumplimiento. Establece el nivel de
responsabilidad y rendimiento requerido y fija las expectativas con las que se
evaluarán las acciones.
La política debe ser adecuada a las obligaciones de cumplimiento de la

organización que se derivan de sus actividades.
La política de cumplimiento debe especificar:
- la aplicación y el contexto del sistema de gestión del cumplimiento en

relación con el tamaño, la naturaleza y la complejidad de la organización y
su entorno operativo;
- la medida en que el cumplimiento se integrará con otras funciones, como
las de gobernanza, riesgo, auditoría y jurídicas;
- los principios sobre los que se gestionarán las relaciones con las partes
interesadas internas y externas.
La política de cumplimiento no debe ser un documento aislado, sino que debe

estar respaldada por otros documentos, incluidas las políticas y los procesos
operacionales.
La política de cumplimiento debe traducirse a otros idiomas si es necesario.
La política debe ser adecuada a las obligaciones de cumplimiento de la

organización que se derivan de su ámbito de aplicación y sus actividades.
A.1.1.2 Desarrollo
Al elaborar la política de cumplimiento, se debe tener en cuenta:
a) las obligaciones internacionales, regionales o locales específicas;

b) la estrategia, los objetivos, la cultura y el enfoque de gobernanza de la
organización;
c) la estructura de la organización;
d) la naturaleza y el nivel de riesgo asociado con el incumplimiento;
e) las normas, códigos, políticas y procedimientos internos adoptados; f) las
normas de la industria.
Las políticas de cumplimiento deben prepararse para todas las esferas de

actividad apropiadas. Las políticas de cumplimiento pueden comprender
a) una declaración de misión;

b) una declaración de política general;
c) estrategias de gestión y asignación de responsabilidades y recursos;
d) procedimientos de cumplimiento estándar;
e) auditoría, diligencia debida y cumplimiento.
A.1.2 Funciones, responsabilidades y facultades

A.1.2.1 Órgano rector
La participación activa del órgano rector y su supervisión son parte integrante de

un sistema eficaz de gestión del cumplimiento. Esto ayuda a asegurar que el
personal comprenda plenamente la política de cumplimiento y los procedimientos
de cumplimiento operacional y cómo se aplican a sus trabajos, y que lleven a cabo
las obligaciones de cumplimiento de manera efectiva.
Para que un sistema de gestión del cumplimiento sea eficaz, el órgano rector y la
alta dirección deben dar el ejemplo, adhiriéndose al cumplimiento y al sistema de
gestión del cumplimiento y apoyándolo activa y visiblemente.
Algunas organizaciones -dependiendo de su tamaño- también tienen a alguien que

tiene la responsabilidad general de la gestión del cumplimiento, aunque esto
puede ser además de otros papeles o funciones, incluidos los comités existentes,
la(s) dependencia(s) organizacional(es) o la subcontratación de elementos a
expertos en cumplimiento.
A.1.1.1 Alta dirección
La alta dirección debe fomentar un comportamiento que cree y apoye el

cumplimiento y no debe tolerar un comportamiento que comprometa el
cumplimiento.
La alta dirección debe asegurarse:
- la alineación del compromiso de la organización con el cumplimiento de sus

valores, objetivos y estrategia para posicionar el cumplimiento
apropiadamente;
- animar a todos los empleados a aceptar la importancia de alcanzar los
objetivos de cumplimiento de los que son responsables;
- creación de un entorno en el que se fomente la denuncia de los
incumplimientos y el empleado que los denuncia esté a salvo de
represalias;
- el cumplimiento se incorpora a la cultura general de la organización y a las
iniciativas de cambio de cultura;
- identificación y acción rápida para corregir o abordar el incumplimiento;
- que los objetivos y metas operacionales no comprometan el
comportamiento de cumplimiento.
La alta gerencia debe revisar el desempeño de la función de cumplimiento a

intervalos planificados (por ejemplo, trimestral o mensualmente) haciendo
referencia a los indicadores clave de desempeño (KPI) y otra información clave
para asegurar que el sistema de gestión del cumplimiento esté logrando sus
objetivos.
La efectividad de un CMS requiere un compromiso por parte de la alta gerencia a
través del establecimiento de estándares y el ejercicio de una supervisión
razonable.
La alta gerencia debe tener conocimiento del contenido y la operación del CMS y
debe asegurar que la organización tenga procesos adecuados para un CMS
efectivo.
A.1.1.2 Función de cumplimiento
Muchas organizaciones cuentan con una persona dedicada (por ejemplo, un oficial
de cumplimiento) responsable de la gestión del cumplimiento diario, y algunas
tienen un comité de cumplimiento interfuncional para coordinar el cumplimiento en
toda la organización.
No todas las organizaciones crearán una función discreta de cumplimiento,

algunas pueden asignar esta función a un puesto existente o subcontratar esa
función. La función de cumplimiento trabaja conjuntamente con la administración.
Al asignar la responsabilidad del sistema de gestión de la observancia, se debe

considerar la posibilidad de asegurar que la función de observancia se demuestre:
- integridad y compromiso con el cumplimiento;

- una comunicación eficaz y capacidad de influencia;
- una capacidad y posición para hacer aceptar el asesoramiento y la
orientación;
- competencia pertinente en el diseño, la aplicación y el mantenimiento de
sistemas de gestión del cumplimiento;
- asertividad, conocimiento de los negocios y experiencia para probar y
desafiar;
- enfoque estratégico y proactivo para el cumplimiento;
- suficiente tiempo disponible para cumplir con las necesidades de la función.
La función de cumplimiento debe tener autoridad, estatus e independencia.

Autoridad significa que la función de cumplimiento está dotada de suficientes
poderes por el órgano rector y la alta dirección.
Estatus significa que es probable que el resto del personal escuche y respete su
opinión. Independencia significa que la función de cumplimiento no participa
personalmente, en la medida de lo posible, en actividades que estén expuestas a
riesgos de cumplimiento.
A.1.1.3 Dirección
Esto no debe considerarse como una exoneración de las responsabilidades de

cumplimiento de otros niveles de gestión, ya que todos los gestores tienen una
función que desempeñar con respecto al sistema de gestión del cumplimiento. Por
lo tanto, es importante que sus respectivas responsabilidades estén claramente
establecidas e incluidas en las descripciones de sus puestos.
Las responsabilidades de cumplimiento de los directivos variarán, por necesidad,

según los niveles de autoridad, la influencia y otros factores, como la naturaleza y
el tamaño de la organización. Sin embargo, es probable que algunas
responsabilidades sean comunes en diversas organizaciones.
A.1.1.4 Personal
Se espera que todo el personal cumpla con las obligaciones de cumplimiento.
El personal debe asegurarse de que conoce sus responsabilidades de

cumplimiento y las cumple eficazmente. Se les apoyará en esto a través de
elementos de la CMS, como la capacitación, las políticas y procedimientos, el
código de conducta.
El personal debe ser proactivo en cuanto a contribuir a los conocimientos y

mejoras que podrían ayudar en el desempeño de la CMS.
A.1 Planificación
A.1.1 Medidas para hacer frente a los riesgos y oportunidades
La planificación del CMS se realiza a nivel estratégico, frente a la planificación de

las operaciones realizada para la planificación y el control de las operaciones.
El propósito de la planificación es anticiparse a los posibles escenarios y

consecuencias y es, como tal, preventiva. Sobre la base de los resultados de una
evaluación de la gestión de los riesgos de cumplimiento, la organización debe
planificar la forma de abordar los efectos no deseados antes de que se produzcan
y la forma de beneficiarse de las condiciones o circunstancias favorables que
puedan respaldar la eficacia de la CMS.
La planificación también debe incluir la determinación de cómo incorporar las

acciones consideradas necesarias o beneficiosas para la CMS en las actividades y
procesos comerciales.
La incorporación puede lograrse mediante el establecimiento de objetivos, el

control operacional u otras cláusulas específicas (por ejemplo, disposiciones sobre
recursos, competencia, etc.). También deben planificarse medidas para evaluar la
eficacia de la CMS. Esto puede incluir la supervisión, las técnicas de medición, la
auditoría interna o el examen de la gestión.
A.1.2 Objetivos de cumplimiento y planificación para alcanzarlos
Los objetivos deben especificarse de manera que permitan medir los resultados.
Un ejemplo de objetivo de cumplimiento: impartir capacitación en materia de
cumplimiento al personal pertinente por lo menos una vez al año.
Se deben determinar las acciones necesarias para alcanzar los objetivos (es decir,
"qué") y un marco temporal asociado (es decir, "cuándo") y la persona
responsable (es decir, "quién"). La situación y el progreso de los objetivos deben
ser supervisados, registrados, evaluados y actualizados periódicamente según sea
necesario.
Los procesos para obtener información sobre los cambios en las leyes y otras
obligaciones de cumplimiento pueden incluir:
- figurar en las listas de correo de los organismos reguladores pertinentes;

- la pertenencia a grupos profesionales;
- suscripción a los servicios de información pertinentes;
- la asistencia a foros y seminarios de la industria;
- la vigilancia de los sitios web de los organismos reguladores;
- reunión con los reguladores;
- acuerdos con asesores jurídicos;
- la supervisión de las fuentes de las obligaciones de cumplimiento (por
ejemplo, los pronunciamientos de los reguladores y las decisiones de los
tribunales).
Se debería adoptar un enfoque basado en el riesgo, es decir, las organizaciones

deberían comenzar por identificar las obligaciones de cumplimiento más
importantes que sean pertinentes para la empresa y luego centrarse en todas las
demás obligaciones de cumplimiento (principio de pareto).
Cuando proceda, la organización debe establecer y mantener un documento único

(como un registro o bitácora) en el que se establezcan todas sus obligaciones de
cumplimiento y disponer de un proceso para actualizar el documento
periódicamente.
Además de establecer las obligaciones de cumplimiento, el documento debe

incluir, entre otras cosas, lo siguiente:
- las repercusiones de las obligaciones de cumplimiento,

- gestión de las obligaciones de cumplimiento
- controles vinculados a las obligaciones
- evaluación de riesgos.
A.1.3 Evaluación del riesgo de cumplimiento
La evaluación de los riesgos del cumplimiento constituye la base para la aplicación

del sistema de gestión del cumplimiento y la asignación de recursos y procesos
apropiados y adecuados para gestionar los riesgos del cumplimiento identificados.
Los riesgos de cumplimiento pueden caracterizarse por la probabilidad de que se
produzcan y las consecuencias del incumplimiento de la política y las obligaciones
de cumplimiento de las organizaciones.
Los riesgos de cumplimiento incluyen los riesgos de cumplimiento inherentes y los

riesgos de cumplimiento residuales.
Los riesgos de cumplimiento inherentes se refieren a todos los riesgos de

cumplimiento a los que se enfrenta una organización en un estado no controlado
sin las correspondientes medidas de tratamiento de los riesgos de cumplimiento.
Los riesgos de cumplimiento residuales son los riesgos de cumplimiento no

controlados efectivamente por las medidas de tratamiento de riesgos de
cumplimiento existentes en una organización.
La organización debería analizar los riesgos de cumplimiento considerando las

causas y las fuentes de incumplimiento y las consecuencias de éstas, incluyendo
al mismo tiempo la probabilidad de que estas ramificaciones puedan ocurrir. Las
consecuencias pueden incluir, por ejemplo, daños personales y ambientales,
pérdidas económicas, daños a la reputación y responsabilidades administrativas,
civiles y penales".
La identificación de los riesgos de cumplimiento incluye la identificación de las

fuentes de riesgo de cumplimiento y la definición de las situaciones de riesgo de
cumplimiento.
Las organizaciones deberían identificar las fuentes de riesgo de cumplimiento

dentro de diversos departamentos, funciones y diferentes tipos de actividades
organizativas de acuerdo con las responsabilidades del departamento, las
responsabilidades del trabajo y los diferentes tipos de actividades organizativas.
La organización debería identificar periódicamente las fuentes de riesgo de

cumplimiento y definir las situaciones de riesgo de cumplimiento correspondientes
a cada fuente de riesgo de cumplimiento para elaborar una lista de fuentes de
riesgo de cumplimiento y una lista de situaciones de riesgo de cumplimiento".
La evaluación de riesgos implica la comparación del nivel de riesgo de

cumplimiento que es aceptable para la organización con el nivel de riesgo de
cumplimiento establecido en la política de cumplimiento.
Los riesgos de cumplimiento deben ser reevaluados periódicamente y siempre que

haya:
- actividades, productos o servicios nuevos o modificados;
- cambios en la estructura o estrategia de la organización;
- cambios externos significativos, como circunstancias económico-
financieras, condiciones de mercado, responsabilidades y relaciones con
los clientes;
- cambios en las obligaciones de cumplimiento;
- incumplimientos y cuasi incumplimientos. Los cambios significativos en las
circunstancias pueden incluir
- actividades, productos o servicios nuevos o modificados;
- cambios en la estructura o estrategia de la organización;
- cambios externos significativos, como circunstancias económico-
financieras, condiciones de mercado, responsabilidades y relaciones con
los clientes;
- fusiones y adquisiciones;
- cambios en las obligaciones de cumplimiento;
- incumplimientos (incluso un solo incidente de incumplimiento puede
constituir un cambio material de las circunstancias).
El alcance y el nivel de detalle de la evaluación del riesgo de cumplimiento

dependen de la situación de riesgo, el contexto, el tamaño y los objetivos de la
organización y pueden variar en función de subáreas específicas (por ejemplo,
ambiental, financiera y social).
El enfoque de la gestión del cumplimiento basado en los riesgos no significa que

en las situaciones de bajo riesgo de cumplimiento la organización acepte el
incumplimiento. Ayuda a las organizaciones a centrar la atención y los recursos
primarios en los riesgos más elevados con carácter prioritario y, en última
instancia, abarcará todos los riesgos de cumplimiento. Todos los
riesgos/situaciones de cumplimiento identificados están sujetos a vigilancia y
tratamiento.
En ninguna circunstancia las consecuencias financieras estimadas del

incumplimiento deben multiplicarse por la probabilidad de que ocurra (en un
período de tiempo determinado), porque ello elimina el peor de los casos y suele
dar lugar a medidas inadecuadas de tratamiento de los riesgos. La norma ISO
31000 ofrece orientación detallada sobre la evaluación de riesgos.
A continuación se presenta un ejemplo de un proceso de identificación y

evaluación de riesgos
A.1 Apoyo
A.1.1 Recursos
Los recursos incluyen recursos financieros, humanos y técnicos, así como acceso
a asesoramiento externo y a conocimientos especializados, infraestructura
organizativa, material de referencia contemporáneo sobre gestión del
cumplimiento y obligaciones legales, desarrollo profesional y tecnología.
A.1.2 Competencia
Por "competencia" se entiende la capacidad de aplicar los conocimientos y

habilidades para lograr los resultados previstos. La competencia requiere
conocimientos, experiencia y habilidades para que la persona pueda desempeñar
su función de manera efectiva.
La organización debe determinar para todo el personal la experiencia y los

conocimientos necesarios para cumplir su tarea, de modo que la organización
pueda proporcionar sus productos y servicios a los clientes. La organización debe
establecer pruebas de competencia (por ejemplo, descripciones de los puestos,
declaraciones de los cargos, etc.) que puedan considerarse al cubrir los puestos.
Se deben adoptar medidas (por ejemplo, de capacitación) para asegurar que se

mantengan las competencias existentes y se adquieran otras nuevas.
La documentación adecuada de las competencias, así como las medidas

adoptadas para mantener o adquirir esas competencias.
A.1.2.2 Proceso de empleo
Antes de contratar personal o de ascender al personal existente, la organización

debe ejercer la diligencia debida, que podría incluir la comprobación de referencias
o de antecedentes.
A.1.2.3 Capacitación
El órgano rector, la administración y el personal que tengan obligaciones de

cumplimiento deben ser competentes para cumplirlas eficazmente. El logro de la
competencia puede lograrse de muchas maneras, incluidas las aptitudes y los
conocimientos necesarios mediante la educación, la capacitación o la experiencia
laboral.
El objetivo de un programa de capacitación es asegurar que el personal sea

competente para cumplir su función de trabajo de manera compatible con la
cultura de cumplimiento de la organización y su compromiso con el cumplimiento.
Una capacitación adecuadamente diseñada y ejecutada puede proporcionar al
personal una forma eficaz de comunicar los riesgos de cumplimiento no
identificados anteriormente.
La educación y la capacitación deben ser:
- cuando sea apropiado, basado en una evaluación de las lagunas en el

conocimiento y la competencia de los empleados;
- suficientemente flexible para dar cuenta de una gama de técnicas que se
adapten a las diferentes necesidades de las organizaciones y el personal;
- diseñar, desarrollar e impartir la formación a través de personal
experimentado y cualificado;
- deberá impartirse en el idioma local cuando proceda; y
- Evaluar y valorar la eficacia de la capacitación de manera regular
El entrenamiento interactivo podría ser la mejor forma de capacitación, si el

incumplimiento puede tener consecuencias graves.
La organización debería impartir capacitación en la esfera en que se haya

producido la falta de conducta. Se debería considerar la posibilidad de impartir una
nueva capacitación sobre el cumplimiento siempre que la haya:
- un cambio de puesto o de responsabilidades;

- cambios en las políticas, procedimientos y procesos internos;
- cambios en la estructura de la organización;
- un cambio en las obligaciones de cumplimiento, especialmente en los
requisitos legales y los requisitos de las partes interesadas;
- un cambio en las actividades, productos o servicios;
- cuestiones derivadas de la vigilancia, la auditoría, los exámenes, las quejas
y el incumplimiento, incluida la retroinformación de las partes interesadas.
A.1.3 Concienciación
Asegurarse de que las políticas de cumplimiento sean accesibles y estén

disponibles para todo el personal y que se entiendan.
La sensibilización sobre el cumplimiento puede lograrse mediante métodos tales

como, pero no limitados a:
- capacitación (cara a cara o en línea);

- comunicación de la alta dirección;
- materiales de referencia fáciles de seguir y de fácil acceso;
- actualizaciones periódicas sobre cuestiones relativas al cumplimiento.
A.1.1.1 Comportamiento
Comunicar el compromiso de cumplimiento:
- crea conciencia y motiva al personal a adoptar el sistema de gestión de

cumplimiento;
- anima a los empleados a hacer sugerencias que faciliten la mejora continua
en el desempeño del cumplimiento.
A.1.2 Comunicación
Se debe adoptar un enfoque práctico de la comunicación externa, dirigido a todas

las partes interesadas, de conformidad con la política de la organización.
Entre las partes interesadas pueden figurar los órganos reguladores, los clientes,
los contratistas, los proveedores, los inversores, los servicios de emergencia, las
organizaciones no gubernamentales y los vecinos.
La organización debería asignar recursos apropiados y personas con

conocimientos pertinentes para coordinar y facilitar la interacción reglamentaria
Los métodos de comunicación pueden incluir sitios web y correo electrónico,

comunicados de prensa, anuncios y boletines periódicos, informes anuales (u
otros periódicos), debates informales, jornadas de puertas abiertas, grupos de
discusión, diálogo comunitario, participación en eventos comunitarios y líneas
telefónicas directas. Estos enfoques pueden alentar la comprensión y la
aceptación del compromiso de una organización con el cumplimiento.
Las comunicaciones deben adherirse a los principios de transparencia, idoneidad,

credibilidad, capacidad de respuesta, accesibilidad y claridad.
A.1.3 Información documentada
La información documentada puede incluir:
- la política y los procedimientos de cumplimiento de la organización;

- los objetivos, metas, estructura y contenido del sistema de gestión del
cumplimiento;
- la asignación de funciones y responsabilidades para el cumplimiento;
- el registro de las obligaciones de cumplimiento pertinentes;
- los registros de riesgos de cumplimiento y la priorización del tratamiento
basada en el proceso de evaluación de riesgos de cumplimiento;
- registro de los incumplimientos y los cuasi incumplimientos e
investigaciones;
- planes anuales de cumplimiento;
- registros del personal, incluidos, entre otros, los registros de capacitación;
- el proceso de auditoría, el calendario de auditorías y los registros de
auditoría asociados.
La información documentada puede incluir cuestiones relativas a los requisitos de

presentación de informes reglamentarios.
A.1.3.2 Creación y actualización
Los documentos deben actualizarse para reflejar los cambios internos y externos a
fin de asegurar que estén actualizados y al día.
A.1.3.3 Control de la información documentada
La información documentada puede prepararse con el fin de obtener

asesoramiento jurídico y, por lo tanto, puede ser objeto de un privilegio jurídico.
A.2 Funcionamiento
A.2.1 Planificación y control de las operaciones
Una CMS bien diseñada comprende medidas (por ejemplo, políticas,

procedimientos y procesos) que dan tanto contenido como efecto a una cultura de
cumplimiento. Abordan y tienen por objeto reducir los riesgos identificados como
parte de su proceso de evaluación de los riesgos de cumplimiento.
Un elemento básico del control operacional es un código de conducta que

establece, entre otras cosas, el pleno compromiso de la organización con las
obligaciones de cumplimiento pertinentes. El código de conducta debe ser
aplicable a todo el personal y estar a su alcance. Basado en el código de conducta
y derivado de él.
Las medidas de cumplimiento deben incorporarse a las operaciones diarias de la

organización para fomentar una cultura de cumplimiento.
Se requieren controles operacionales para las situaciones relacionadas con los

procesos comerciales en las que la ausencia de esos controles podría dar lugar a
desviaciones de la política de cumplimiento o al incumplimiento de las
obligaciones de cumplimiento. Estas situaciones pueden estar relacionadas con
todas las situaciones, actividades o procesos comerciales, como la producción, la
instalación o el mantenimiento o los contratistas, proveedores o vendedores.
El grado de control puede variar en función de varios factores, como la importancia

o la complejidad de las funciones desempeñadas, las posibles consecuencias del
incumplimiento o el apoyo técnico implicado o disponible.
Cuando los controles operacionales fallan, es necesario adoptar medidas para
hacer frente a cualquier resultado o efecto indeseable.
Si se recurre a terceros o se subcontratan procesos de las actividades de la

organización, ésta debe ejercer una diligencia debida efectiva para garantizar que
no se rebajen sus normas y su compromiso de cumplimiento. Un ejemplo de
terceros podría ser el relativo al suministro de productos y servicios y la
distribución de productos. La organización debe asegurarse de que se concluyan
acuerdos de nivel de servicio apropiados que especifiquen las obligaciones de
cumplimiento para el proveedor de servicios.
Un proceso de contratación externa bien diseñado considera lo siguiente:
- la diligencia debida antes de la designación;

- la realización de una vigilancia continua;
- el examen apropiado del acuerdo jurídico/contractual;
- la consideración de un acuerdo de nivel de servicio (SLA);
- utilizar terceros certificados por la norma ISO 37301.
A.1.1 Establecimiento de controles y procedimientos
Se necesitan controles eficaces para garantizar que se cumplan las obligaciones

de cumplimiento de la organización y que se prevenga o detecte y corrija el
incumplimiento. Los tipos y niveles de los controles deben diseñarse con suficiente
rigor para facilitar el logro de las obligaciones de cumplimiento que son
particulares de las actividades y el entorno operativo de la organización. Esos
controles deberían, en la medida de lo posible, incorporarse a los procesos
normales de la organización.
Los controles pueden incluir:
- políticas, procedimientos, procesos e instrucciones de trabajo

documentados, claros, prácticos y fáciles de seguir;
- sistemas e informes de excepción;
- aprobaciones;
- la segregación de funciones y responsabilidades incompatibles;
- procesos automatizados;
- planes de cumplimiento anuales;
- planes de rendimiento de los empleados;
- evaluaciones y auditorías de cumplimiento;
- compromiso de gestión demostrado y comportamiento ejemplar y otras
medidas para promover un comportamiento conforme;
- comunicación activa, abierta y frecuente sobre el comportamiento esperado
de los empleados (normas y valores, códigos de conducta).
En la elaboración de procedimientos para apoyar la gestión del cumplimiento se

debe tener en cuenta:
- la integración de las obligaciones de cumplimiento en los procedimientos,
incluidos los sistemas informáticos, los formularios, los sistemas de
presentación de informes, los contratos y otra documentación jurídica
- la coherencia con otras funciones de examen y control de la organización;
- la vigilancia y medición continuas;
- la evaluación y la presentación de informes (incluida la supervisión de la
gestión) para garantizar que los empleados cumplan los procedimientos;
- disposiciones específicas para identificar, informar y aumentar los casos de
incumplimiento y los riesgos de incumplimiento.
A.1.2 Planteamiento de inquietudes
Cuando proceda, la escalada debe ser a la alta dirección y al órgano rector,

incluidos los comités pertinentes.
Incluso cuando no lo exija la reglamentación local, las organizaciones deben

considerar la posibilidad de desarrollar un mecanismo de denuncia de
irregularidades que permita el anonimato o la confidencialidad, en virtud del cual
los empleados y agentes de la organización puedan informar o buscar orientación
sobre el incumplimiento sin temor a represalias.
A.1.3 Proceso de investigación
Una característica de un sistema de gestión del cumplimiento eficaz es un

mecanismo que funciona bien para la investigación oportuna y exhaustiva de toda
denuncia o sospecha de conducta indebida por parte de la organización, su
personal o terceros pertinentes. Esto incluye la documentación de la respuesta de
la organización, incluidas las medidas disciplinarias o correctivas adoptadas y las
revisiones del CMS teniendo en cuenta las lecciones aprendidas.
Un mecanismo de investigación eficaz identifica las causas fundamentales de la

conducta indebida, las vulnerabilidades de la CMS y los fallos en la rendición de
cuentas, incluso entre los administradores, la alta dirección y el órgano rector. Un
análisis minucioso de las causas fundamentales se ocupa del alcance y la
generalidad del incumplimiento, el número y el nivel del personal implicado, la
gravedad, la duración y la frecuencia del incumplimiento.
La organización debe establecer un mecanismo de presentación de informes

sobre las investigaciones, incluido el nivel hasta el cual se han de comunicar las
conclusiones de las investigaciones.
Cuando las organizaciones están obligadas por ley a informar sobre el

incumplimiento, las autoridades reguladoras deben ser informadas de conformidad
con los reglamentos aplicables o según lo convenido.
La supervisión del sistema de gestión del cumplimiento suele incluir:

- la eficacia de la capacitación;
- la eficacia de los controles, por ejemplo, mediante la realización de pruebas
por muestreo;
- la asignación efectiva de responsabilidades para cumplir las obligaciones de
cumplimiento;
- la vigencia de las obligaciones de cumplimiento;
- la eficacia en el tratamiento de los fallos de cumplimiento previamente
identificados;
- los casos en que las inspecciones internas de cumplimiento no se realizan
según lo previsto.
La vigilancia de la actuación en materia de cumplimiento suele incluir:
- el incumplimiento y los "cuasi-incidentes" (es decir, incidentes sin efectos

adversos);
- los casos en que no se cumplen las obligaciones de cumplimiento;
- casos en que no se logran los objetivos;
- estado de la cultura de cumplimiento;
- los indicadores adelantados y atrasados establecidos en el punto 9.1.6.
A.1.1.1 Fuentes de información sobre los resultados del cumplimiento
Las fuentes incluyen:
- empleados, por ejemplo, a través de instalaciones de denuncia, líneas de

ayuda, retroalimentación, buzones de sugerencias;
- los clientes, por ejemplo, a través de un sistema de gestión de quejas;
- los proveedores;
- los contratistas;
- reguladores;
- registros de control de procesos y registros de actividades (tanto en soporte
informático como en papel).
La retroalimentación sobre el desempeño del cumplimiento puede incluir
- cuestiones de cumplimiento,
- los incumplimientos y las preocupaciones de cumplimiento,
- fusionar los asuntos de cumplimiento,
- los continuos cambios regulatorios y organizativos y
- comentarios sobre la eficacia y el rendimiento del cumplimiento.
Hay muchos métodos para recopilar información. Cada uno de los métodos que se
enumeran a continuación es pertinente en diferentes circunstancias y se debe
tener cuidado de seleccionar la variedad de instrumentos apropiados para el
tamaño, la escala, la naturaleza y la complejidad de la organización.
La reunión de información puede incluir:
- informes ad hoc sobre el incumplimiento a medida que aparecen o se

identifican;
- información obtenida a través de líneas telefónicas directas, quejas y otros
tipos de retroalimentación, incluida la denuncia de irregularidades;
- discusiones informales, talleres y grupos de discusión;
- muestreo y pruebas de integridad, como las compras misteriosas;
- resultados de encuestas de percepción;
- observaciones directas, entrevistas formales, visitas a instalaciones e
inspecciones;
- auditorías y revisiones;
- consultas de las partes interesadas, solicitudes de capacitación y
retroalimentación proporcionada durante la capacitación (en particular las
de los empleados).
Se debe elaborar un sistema para clasificar, almacenar y recuperar la información.
Los sistemas de gestión de la información deben captar tanto las cuestiones como
las quejas y permitir la clasificación y el análisis de las que se refieren al
cumplimiento. El análisis debe considerar los problemas sistémicos y recurrentes
para su rectificación o mejora, ya que es probable que éstos entrañen importantes
riesgos de cumplimiento para la organización y pueden ser más difíciles de
identificar.
Los criterios de clasificación de la información pueden incluir:
- fuente;
- departamento;
- descripción del incumplimiento;
- referencias de la obligación;
- indicadores;
- gravedad;
- impacto real o potencial.
A.1.1.2 Elaboración de indicadores
Este proceso debería tener en cuenta los resultados de la evaluación de los

riesgos de cumplimiento para garantizar que los indicadores se relacionen con las
características pertinentes de los riesgos de cumplimiento de la organización.
La cuestión de qué y cómo medir los resultados del cumplimiento puede ser un
reto en algunos aspectos pero, no obstante, es una parte vital para demostrar la
eficacia del sistema de gestión del cumplimiento.
Además, los indicadores necesarios variarán en función de la madurez de la
organización y del momento y el alcance de los programas nuevos y revisados
que se estén ejecutando.
Los indicadores pueden incluir:
- porcentaje de empleados capacitados efectivamente;

- frecuencia de los contactos de los organismos reguladores;
- utilización de mecanismos de retroinformación (incluidas observaciones
sobre el valor de esos mecanismos por parte de los usuarios). Los
indicadores de reacción pueden incluir
- problemas e incumplimientos identificados, notificados por tipo, área y
frecuencia;
- consecuencia del incumplimiento, que puede incluir la valoración del
impacto resultante de la compensación monetaria, las multas y otras
sanciones, el costo de la reparación, la reputación o el costo del tiempo de
los empleados;
- la cantidad de tiempo que se tarda en informar y en adoptar medidas
correctivas.
Los indicadores de predicción pueden incluir
- los riesgos de incumplimiento medidos como la pérdida/ganancia potencial de los

objetivos (ingresos, salud y seguridad, reputación, etc.)
- Tendencias de incumplimiento (tasa de cumplimiento prevista basada en las

tendencias pasadas).
A.1.1.1 Presentación de informes sobre el cumplimiento
Si bien la notificación de problemas sistémicos y recurrentes es particularmente

importante, un incumplimiento puntual puede ser igualmente preocupante si es
importante o deliberado. Incluso un pequeño fallo puede indicar una grave
debilidad en el proceso actual y en el sistema de gestión del cumplimiento. Si no
se informa oportunamente, puede llevar a pensar que el fallo no importa y puede
dar lugar a que dicho fallo se convierta en un problema sistémico.
Los informes sobre el cumplimiento deben incluir:
- cualquier asunto que la organización deba notificar a cualquier autoridad

reguladora;
- los cambios en las obligaciones de cumplimiento, sus repercusiones en la
organización y el curso de acción propuesto para cumplir las nuevas
obligaciones;
- la medición del rendimiento del cumplimiento, incluidos el incumplimiento y
la mejora continua;
- el número y los detalles de los posibles incumplimientos y un análisis
posterior de los mismos;
- medidas correctivas adoptadas;
- información sobre la eficacia, los logros y las tendencias del sistema de
gestión del cumplimiento;
- contactos y evolución de las relaciones con los reguladores;
- los resultados de las auditorías, así como las actividades de vigilancia.
La política de cumplimiento debe promover la notificación inmediata de las

cuestiones importantes que surjan fuera de los plazos de notificación periódica.
A.1.1.2 Mantenimiento de registros
El mantenimiento de registros debe incluir el registro y la clasificación de las

cuestiones relativas al cumplimiento y al presunto incumplimiento, así como las
medidas adoptadas para resolverlas.
Los registros deben almacenarse de manera que se garantice que sigan siendo
legibles, fácilmente identificables y recuperables.
Esos registros deben protegerse contra toda adición, supresión, modificación, uso
no autorizado u ocultación.
Los registros del sistema de gestión del cumplimiento de la organización pueden

incluir:
- información sobre el desempeño en materia de cumplimiento, incluidos los

informes de cumplimiento;
- detalles sobre el incumplimiento y las medidas correctivas;
- los resultados de las revisiones y auditorías del sistema de gestión del
cumplimiento y las medidas adoptadas.
A.1.2 Auditoría interna
Las funciones de auditoría, ya sean internas o externas, deben estar libres de

conflictos de interés y ser independientes para cumplir su función.
Véase la norma ISO 19011:2018 para obtener información sobre cómo realizar
una auditoría de un sistema de gestión.
A.1.3 Examen de la gestión

El examen de la gestión debe incluir también recomendaciones sobre:
- la necesidad de cambios en la política de cumplimiento, sus objetivos

asociados, sistemas, estructura y personal;
- los cambios en los procesos de cumplimiento para garantizar la integración
efectiva con las prácticas y sistemas operacionales;
- las áreas que deben ser supervisadas para detectar posibles
incumplimientos futuros;
- medidas correctivas con respecto al incumplimiento;
- las lagunas o la falta de sistemas de cumplimiento actuales y las iniciativas
de mejora continua a más largo plazo;
- el reconocimiento de un comportamiento de cumplimiento ejemplar dentro
de la organización.
Se debe proporcionar al órgano rector una copia de los resultados documentados

y de cualquier recomendación del examen de la gestión.
A.10 Mejora
A.10.1 Incumplimiento y medidas correctivas
El hecho de que no se pueda prevenir o detectar un incumplimiento puntual no

significa necesariamente que el sistema de gestión del cumplimiento no sea
generalmente eficaz para prevenir y detectar el incumplimiento.
La información procedente del análisis de la no conformidad o el incumplimiento

se puede utilizar para examinarla:
- la evaluación del rendimiento de los productos y servicios;

- mejorar y/o rediseñar los productos y servicios;
- la modificación de las prácticas y procedimientos de la organización;
- el reciclaje de los empleados;
- reevaluar la necesidad de informar a las partes interesadas;
- proporcionar una alerta temprana de posibles incumplimientos;
- rediseñar o revisar los controles;
- mejorar los pasos de notificación y escalada (internos y externos);
- comunicar los hechos que rodean el incumplimiento y la posición de la
organización con respecto al mismo.
A.10.2 Mejora continua
La eficacia de un CMS se caracteriza por el hecho de que tiene la capacidad de

mejorar y evolucionar continuamente. El entorno interno y externo y los negocios
de la organización cambian con el tiempo, al igual que la naturaleza de sus
clientes y las obligaciones de cumplimiento aplicables.
La idoneidad y eficacia del sistema de gestión del cumplimiento debe evaluarse de

manera continua y regular mediante varios métodos, por ejemplo, exámenes por
parte de auditorías internas
La organización debe establecer medidas para revisar su CMS y asegurar que se

mantenga actualizada y apta para su propósito. Al determinar el alcance y la
escala de tiempo de las acciones que apoyan el mejoramiento continuo, la
organización debe considerar su contexto, factores económicos y otras
circunstancias relevantes.
Algunas organizaciones realizan encuestas a los empleados para medir la cultura

de cumplimiento y evaluar la fuerza de los controles. Otras fuentes de información
para el mejoramiento continuo pueden ser los resultados de las encuestas a los
clientes, los informes que suscitan preocupación, la vigilancia periódica, las
auditorías periódicas o los exámenes de la gestión.
La organización debe considerar los resultados y productos de esas evaluaciones

para determinar si existe la necesidad o la oportunidad de cambiar el sistema de
gestión del cumplimiento.
A fin de ayudar a asegurar que se mantenga la integridad del sistema de gestión

del cumplimiento y su eficacia, los cambios en los elementos individuales del
sistema de gestión deben tener en cuenta la dependencia y el impacto de dicho
cambio en la eficacia del sistema de gestión en su conjunto.
Al realizar cambios en el sistema de gestión de la conformidad, la organización

debe tener en cuenta las repercusiones que dichos cambios tienen en el sistema
de gestión de la conformidad, sus operaciones, la disponibilidad de recursos, las
evaluaciones del riesgo de cumplimiento, las obligaciones de cumplimiento de la
organización y sus procesos de mejora continua.
Bibliografía
1] ISO 9001, Sistemas de gestión de la calidad - Requisitos

2] ISO 10002, Gestión de la calidad - Satisfacción del cliente - Directrices para la
gestión de reclamaciones en las organizaciones
3] ISO 14001, Sistemas de gestión ambiental - Requisitos con orientación para su
uso
4] ISO 19011, Directrices para la auditoría de los sistemas de gestión
5] ISO 22000, Sistemas de gestión de la seguridad alimentaria - Requisitos para
cualquier organización en la cadena alimentaria
6] ISO 26000, Guía sobre la responsabilidad social
7] ISO 31000, Gestión de riesgos - Directrices
8] ISO 37001, Sistemas de gestión antisoborno - Requisitos con orientación para
su uso
[9] Guía ISO 73, Gestión de riesgos - Vocabulario

Borrador ISO 37301 Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Borrador ISO 37301 Español

Cargado por

Copyright:

Formatos disponibles

BORRADOR NORMA ISO 37301 – EN REVISIÓN PARA APROBACIÓN FINAL

NO ES EL TEXTO FINAL – ES POSIBLE QUE HAYA MODIFICACIONES

(Se entrega para efectos académicos)

La Organización Internacional de Normalización (ISO) es una federación mundial

La labor de preparación de las normas internacionales se lleva a cabo

Cada órgano miembro interesado en un tema para el que se haya establecido un

También participan en la labor organizaciones internacionales, gubernamentales y

La ISO colabora estrechamente con la CEI en todos los asuntos de normalización

Los procedimientos utilizados para elaborar el presente documento y los

En particular, cabe señalar los diferentes criterios de aprobación necesarios para

El presente documento se ha redactado de conformidad con las normas editoriales

Se señala a la atención la posibilidad de que algunos de los elementos de este

La ISO no se responsabiliza de la identificación de alguno o todos esos derechos

Los detalles de cualquier derecho de patente identificado durante la elaboración

El presente documento fue preparado por el Comité Técnico ISO/TC 309

Cualquier comentario o pregunta sobre este documento debe dirigirse al

Este documento anula y reemplaza la norma ISO 19600:2014-10.

En esta Norma Internacional se utilizan las siguientes formas verbales:

- "deberá" indica un requisito;

El cumplimiento es un proceso continuo y el resultado del cumplimiento de las

El cumplimiento se hace sostenible incorporándolo a la cultura de la organización

El enfoque de una organización respecto del cumplimiento está configurado por

En varias jurisdicciones, los tribunales han tenido en cuenta el compromiso de una

Uno de los objetivos del presente documento es ayudar a las organizaciones a

En el presente documento se especifican los requisitos y se ofrece orientación

Tanto los requisitos como la orientación que figuran en el presente documento

Sistemas de gestión del cumplimiento - Requisitos con orientación para su uso

En este documento se especifican los requisitos y se dan directrices para

Este documento es aplicable a todos los tipos de organizaciones,

Todos los requisitos especificados en este documento que se refieren a un órgano

A los efectos del presente documento, se aplican los siguientes términos y

La ISO y la CEI mantienen bases de datos terminológicas para su uso en la

persona o grupo de personas que tiene sus propias funciones con

Nota 1 de la entrada: El concepto de organización incluye, entre otras cosas, a

Nota 1 a la entrada: Por "generalmente implícito" se entiende que es costumbre o

Nota 2 de la entrada: Un requisito especificado es el que se declara, por ejemplo,

Nota 1 a la entrada: Un sistema de gestión puede ocuparse de una o varias

Nota 3 de la entrada: El alcance de un sistema de gestión puede incluir la

Nota 1 a la entrada: La alta dirección tiene la facultad de delegar autoridad y

Nota 3 de la entrada: A los efectos del presente documento, el término "alta

Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operacional.

Nota 2 de la entrada: Los objetivos pueden estar relacionados con diferentes

Nota 3 de la entrada: Un objetivo puede expresarse de otras maneras, por

Nota 4 de la entrada: En el contexto de los sistemas de gestión del cumplimiento,

Nota 1 a la entrada: Un efecto es una desviación de lo esperado - positivo o

Nota 2 de la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia

Nota 3 de la entrada: El riesgo se caracteriza a menudo por la referencia a los

Nota 4 de la entrada: El riesgo suele expresarse en términos de una combinación

Nota 1 a la entrada: La información documentada puede estar en cualquier

Nota 2 de la entrada: La información documentada puede referirse a:

- el sistema de gestión (3.4), incluidos los procesos conexos (3.12);

Nota 1 a la entrada: El rendimiento puede estar relacionado con conclusiones

Nota 1 a la entrada: Para determinar el estado, puede ser necesario comprobar,

Nota 1 de la entrada: Una falta de conformidad no es necesariamente un

Nota 1 a la entrada: No todas las organizaciones, en particular las pequeñas,

La organización determinará las cuestiones externas e internas que sean

- el contexto jurídico y reglamentario;

4.2 Comprensión de las necesidades y expectativas de las partes

4.3 Determinación del alcance del sistema de gestión del cumplimiento

La organización determinará los límites y la aplicabilidad del sistema de gestión

Al determinar este alcance, la organización deberá considerar:

- las cuestiones externas e internas a las que se hace referencia en el punto

El alcance deberá estar disponible como información documentada.