Norma Sge 900

Norma Referencial Internacional
SGE 900:2016
en
Compliance y Dirección Experta
De Empresas
Queda totalmente prohibido el uso de cualquiera de los contenidos, imágenes y logo de esta Norma Referencial
Internacional incluida la cita sin la autorización expresa, de forma fehaciente y por escrito, de Best Business Service
propietaria de los derechos exclusivos y copyright.
Norma Referencial Internacional SGE 900:2016
Norma Referencial Internacional

SGE 900:2016
en Compliance y Dirección Experta de Empresas
SGE 900:2016
Norma Referencial Internacional SGE900:2016 para la Evaluación y Certificación:
De Profesionales vinculados con la Dirección y Gestión de Empresas:

a) Dirección General de Pymes
b) Dirección Experta de Empresas
c) Consultor Estratégico y de Gestión
d) Compliance Officer
e) Coach Experto en Empresas
f) Otras actividades vinculadas con la Gestión y Toma de decisiones
De Empresas:
g) En Compliance Penal
h) En Compliance Legal
i) En CorporateCompliance
© BEST BUSINESS SERVICES Reproducción prohibida

BEST BUSINESS SERVICE AUTORIZA EL USO DE ESTE DOCUMENTO A CRISTINA DE RAFAEL DAZA
Licencia para un usuario –Reproducción, Distribución y Comunicación y Uso en Red prohibidos
2
ÍNDICE
1. PRÓLOGO ................................................................................................................................................. 7
2. INTRODUCCIÓN A LA CERTIFICACIÓN EN DIRECCIÓN EXPERTA DE EMPRESAS ....................................... 9
2.1. Fundamento de la Certificación en Dirección Experta de Empresas ............................................................ 10
2.2. Mejora de la eficiencia en la gestión de los Procesos Críticos de Negocio ................................................... 11
2.3. Enfoque basado en la gestión de la Información, el Conocimiento y la Responsabilidad ............................ 12
2.4. Conocimientos y Recursos clave para la dirección experta de empresas ..................................................... 13
2.5. Aplicación del Modelo R/S/A Riesgo - Solución- Acción .............................................................................. 13
2.6. La Gestión del Cambio................................................................................................................................... 15
3. OBJETO, CAMPO DE APLICACIÓN Y EXCLUSIONES .............................................................................................. 16

3.1. Objeto ........................................................................................................................................................... 16
3.1.1. CERTIFICACIÓN DE PERSONAS FÍSICAS EN DIRECCIÓN EXPERTA DE EMPRESAS ....................................................... 17
3.1.2. CERTIFICACIÓN EN COMPLIANCE .............................................................................................................................. 17
3.1.3. El MODELO DE ORGANIZACIÓN Y GESTIÓN DE PREVENCIÓN DE RIESGOS ............................................................... 17
3.2. Campo de aplicación ..................................................................................................................................... 18
3.3. Exclusiones .................................................................................................................................................... 18
4. REFERENCIAS, TÉRMINOS Y DEFINICIONES ....................................................................................................... 19

4.1. Referencias .................................................................................................................................................... 19
4.2. Términos y Definiciones ................................................................................................................................ 20
5. REGULACIONES Y COMPATIBILIDADES ............................................................................................................ 24

5.1 Regulaciones y Normalizaciones ........................................................................................................................ 24
5.2 Compatibilidades................................................................................................................................................ 24
Compatibilidad Real Decreto 951/2005 .................................................................................................................................. 24
Artículo 5.1 RD951/2005......................................................................................................................................................... 24
Artículo 5.2 RD951/2005......................................................................................................................................................... 24
Artículo 5.3 RD951/2005......................................................................................................................................................... 24
Compatibilidad con la Guía para el Desarrollo de Cartas de Servicios del Ministerio de Administraciones Públicas. ............ 25
6. REQUISITOS PARA LA CERTIFICACIÓN EN DIRECCIÓN EXPERTA DE EMPRESA .......................................................... 26

6.1 Mercado ........................................................................................................................................................ 26
6.1.1 Análisis estratégico del entorno..................................................................................................................................... 26
6.1.2. AUDITORÍA INTERNA DE LA IMPLEMENTACIÓN ESTRATÉGICA .................................................................................... 27
6.1.3. Análisis del Posicionamiento Competitivo de la empresa ............................................................................................. 27
6.1.3.1 Auditoría Interna de la gestión del Posicionamiento de la Empresa ......................................................................... 27
6.2. Clientes.......................................................................................................................................................... 28
3
6.2.1 Análisis de “Gaps” entre percepciones y expectativas de los clientes. ..........................................................................28
6.2.2 Auditoría Interna de la Gestión de la Satisfacción del Cliente ...................................................................................28
6.2.3 Análisis y evaluación de perfiles de clientes ..............................................................................................................28
6.3 Oferta ............................................................................................................................................................ 29

6.3.1 Determinación del Precio según “valor para el Cliente” ................................................................................................29
6.3.2 Análisis y Evaluación de Atractividad Global de la Oferta..........................................................................................29
6.3.3 Previsiones empresariales a corto plazo....................................................................................................................29
6.3.4 AUDITORÍA INTERNA DE GESTIÓN DE LA OFERTA .....................................................................................................29
6.4. Actividades/Control ....................................................................................................................................... 30

6.4.1 Análisis Económico Financiero de la Empresa ................................................................................................................30
6.4.2 Auditoría Interna en Administración y Control ..............................................................................................................30
6.4.3 Auditoría interna de Tesorería y Cash Management......................................................................................................30
6.4.4 Auditoría Integral de la empresa ....................................................................................................................................31
6.5. Puestos y Personas ........................................................................................................................................ 31

6.5.1 Análisis y evaluación del Clima Laboral y Social. ........................................................................................................31
6.5.2 Análisis y evaluación de la Responsabilidad Social Empresarial ................................................................................31
6.5.3 Auditoría Interna en Gestión Gerencial .....................................................................................................................32
6.5.4 Evaluación de la organización: cultura e innovación .................................................................................................32
7. NORMA REFERENCIAL INTERNACIONAL SGE 900 EN COMPLIANCE......................................................................33

7.1. Introducción ...................................................................................................................................................... 33
7.2. Objeto .................................................................................................................................................................. 34
7.3. Campo de Aplicación ............................................................................................................................................. 35
7.4. Referencias .......................................................................................................................................................... 35
7.5. Términos y definiciones ........................................................................................................................................ 35
7.6. Regulaciones y normativas .................................................................................................................................... 35
8. CRITERIOS PARA LA CERTIFICACIÓNEN COMPLIANCE ................................................................................................36

8.1.Contexto y comprensión de la organización ...................................................................................................... 36
8.2.Responsabilidades, competencias y funciones .................................................................................................. 38
8.3. Formación, Información y Comunicación .......................................................................................................... 42
8.4. Régimen Disciplinario ........................................................................................................................................ 43
8.5. Código Ético y de Conducta ............................................................................................................................... 44
9. REQUISITOS COMUNES PARA LA CERTIFICACIÓN EN COMPLIANCE .............................................................................46

9. 1. Identificación .................................................................................................................................................... 46
9.2. Contexto y Compresión de la Organización ..................................................................................................... 46
9. 3. Políticas, funciones y obligaciones de compliance ........................................................................................... 47
4
9.4. Objetivos, Finalidades y Alcance del Modelo .................................................................................................... 47
9.5. Órgano de Compliance .................................................................................................................................... 48
9.6. Código Ético y de Conducta............................................................................................................................... 50
10. REQUISITOS PARA LA CERTIFICACIÓN EN COMPLIANCE PENAL ................................................................................ 51

10.1. Sistema de Gestión de Compliance de Riesgos Penales.................................................................................. 51
11. REQUISITOS PARA LA CERTIFICACIÓN EN COMPLIANCE LEGAL ................................................................................ 53

11.1.Sistema de Gestión de Compliance de Riesgos Legales ................................................................................... 53
12. REQUISITOS PARA LA CERTIFICACIÓN EN CORPORATE COMPLIANCE ........................................................................ 55

12.1.Modelo Organizativo: Visión, Propuesta de Valor, Ventaja Competitiva, Misión y Valores ............................ 55
12.2.Evaluación Inicial de Riesgos Corporate Compliance ....................................................................................... 56

12.2.1. EVALUACIÓN DEL PROCESO DE MERCADO. ................................................................................................................ 57
12.2.2. EVALUACIÓN DEL PROCESO DE CLIENTES. ................................................................................................................. 57
12.2.3. EVALUACIÓN DEL PROCESO DE LA OFERTA. ............................................................................................................... 59
12.2.4. EVALUACIÓN DEL ACTIVIDADES Y CONTROL ............................................................................................................. 59
12.2.5. EVALUACIÓN DEL PROCESO DE PUESTOS Y PERSONAS............................................................................................. 60
12.3. Sistema de Gestión de Corporate Compliance................................................................................................ 61
13. INFORME DEL MANUAL DE ORGANIZACIÓN Y GESTIÓN DE PREVENCIÓN DE RIESGOS .................................................. 62

14. RELACIÓN CON OTRAS NORMATIVAS Y REGULACIONES DE GESTIÓN ........................................................................ 63
14.1 Calidad ISO 9001:2015 .................................................................................................................................... 63
14.2 Medio Ambiente ISO 14001:2015 .................................................................................................................... 63
14.3. Sistemas de Gestión de la Energía ISO 50001-2011 ....................................................................................... 64
14.4. Prevención de Riesgos Laborales .................................................................................................................... 64
14.5. LOPD ................................................................................................................................................................ 65
14.6. Gestión Integral de la Seguridad y Salud en el Trabajo OHSAS 18001:2008 .................................................. 65
5
SGE 900:2016
6
1. PRÓLOGO
Los contenidos de la Norma Referencial Internacional SGE 900:2016 han sido elaborados por un Comité
Técnico de Expertos multidisciplinares.
El Comité Técnico de Expertos está compuesto por un grupo de especialistas reputados en al menos uno de
los campos concernientes a esta Norma.
A efectos de eficiencia operativa, el número máximo de personas que integran el Comité Técnico de Expertos
no excede de cinco.
La Presidencia del Comité Técnico de Expertos recae en la Dirección General de Best Business Service, quien
designa de forma directa los componentes de dicho Comité.
La función del Comité Técnico de Expertos es desarrollar y actualizar los requerimientos exigibles y/o
recomendables para la Certificación en Compliance y Dirección Experta de Empresas.
Una de las tareas fundamentales del Comité Técnico de Expertos es la redacción de Normas Referenciales
que contribuyan a la mejora de la Competitividad, Productividad, Cualificación y Responsabilidad de las
empresas y profesionales que las integran.
Esta Norma recibe el rango de Norma Referencial Internacional y su adopción es voluntaria por parte de
empresas y profesionales de la Dirección.
Esta tercera edición anula y reemplaza la segunda edición (SGE 900:2011), que a su vez anulaba la anterior
(SGE 900:2009), y que ha sido revisada técnicamente.
Los principales cambios con respecto a la edición anterior son los siguientes:
 Se ha procedido a actualizar su alcance y campo de aplicación denominándose Norma Referencial
Internacional SGE 900 en Compliance y Dirección Experta de Empresas
 Se potencia la medición, análisis y toma de decisiones en los procesos críticos de negocio como paso
previo a la existencia de un modelo de organización en la empresa
 Se introduce la Compliancey el Modelo de Organización y Gestión de Prevención de Riesgos
Best Business Service, S.L., ha desarrollado la Norma Referencial Internacional SGE 900:2016 en Compliance y
Dirección Experta de Empresas, reservándose todos los derechos de reproducción y comercialización.
Best Business Service, S.L. es propietaria de los contenidos de este documento y tiene reservados todos los
derechos de traducción y/o reproducción total o parcial por cualquier medio.
7
Best Business Service se reserva el derecho de actualizar, modificar o variar contenidos de esta Norma
Referencial Internacional, quedando automáticamente anuladas y sustituidas las versiones realizadas con
anterioridad.
Best Business Service es la responsable de la distribución de la Norma Referencial Internacional SGE
900:2016 en Compliance y Dirección Experta de Empresas, por lo que cualquier organismo público, así como
cualquier persona física interesada en su adquisición deberá ponerse en contacto con Best Business Service.
Los permisos de cualquier tipo de reproducción deben solicitarse por correo electrónico a
info@bbsbusiness.com
Queda totalmente prohibido el uso de cualquiera de los contenidos, imágenes y logo de esta Norma Referencial
Internacional incluida la cita sin la autorización expresa, de forma fehaciente y por escrito, de Best Business Service
propietaria de los derechos exclusivos y copyright.
8
2. INTRODUCCIÓN A LA CERTIFICACIÓN EN DIRECCIÓN EXPERTA DE

EMPRESAS
La adopción de un sistema de gestión experta de empresa es una decisión importante para la organización,
con repercusiones a corto, medio y largo plazo; e implica disponer de los conocimientos y recursos
adecuados que aseguren la competencia y las destrezas en la toma de decisiones que afectan a la gestión
experta de los procesos críticos de negocio para:
I. Identificar los procesos que son críticos, por su alto riesgo, para la consecución del éxito
sostenido de la empresa.
II. Capacidad para aplicar procedimientos eficaces de control en dichos procesos.
III. Aseguramiento en la eficiencia del tratamiento de la información y en especial de su
calidad y rapidez para favorecer la toma de decisiones por los responsables implicados.
IV. Facilitar las medidas preventivas y correctivas de forma sostenida en el tiempo.
El propósito de esta Norma es evidenciar la competencia de la organización para la prevención y corregir los
grandes riesgos que dificultan o impiden alcanzar los 5 grandes Retos Estratégicos de toda organización para
conseguir su consolidación o crecimiento sostenido
I. Rentabilidad
II. Reputación
III. Rotación
IV. Rendimiento
V. Responsabilidad
Esta Norma Referencial promueve la eficacia y eficiencia en la responsabilidad de las empresas y

profesionales en Dirección, que es la toma de decisiones y medidas oportunas que minimicen los riesgos y
favorezcan su Consolidación y/o Crecimiento sostenido en el tiempo, aportando las mayores garantías a
todas las partes implicadas en el desarrollo de la empresa:
I. Accionistas
II. Administradores
III. Empleados
IV. Proveedores
V. Clientes
La Gestión Experta de Empresas no responde a necesidades puntuales de empresas u organizaciones, es la

respuesta de empresas y profesionales de la Dirección al actual panorama de globalización y continuo avance
de la Sociedad de la Información, del Conocimiento y de la Responsabilidad que requiere de empresas y
profesionales cada día más cualificados que gestionen con eficiencia y eficacia los cuatro grandes principios
que fundamentan esta Norma Referencial Internacional en Compliance y Gestión Experta de Empresas:
I. Leyes económicas
II. Normativas y Obligaciones
III. Estándares Internacionales
IV. Competencias Profesionales
9
2.1. Fundamento de la Certificación en Dirección Experta de Empresas

La Norma Referencial Internacional SGE 900 reconoce como las funciones clave para la Dirección
Experta de Empresas:
 Planificación
 Organización
 Gestión
 Control
 Mejora
Y las principales Fuentes de Riesgo para cumplir estas funciones de forma eficiente, tanto en los
Procesos de Planificación como de Implementación es lo que en la presente Norma se denominan
Procesos Críticos de Negocio, tal como se establece en la siguiente figura:
Relación de los procesos críticos de negocio (PCN) en la planificación e implementación

Figura 1.0
Toda empresa independientemente a su tamaño, tipo, sector de actividad o ubicación geográfica,

cumple con unos procesos que son determinantes para alcanzar sus objetivos estratégicos y
operativos de consolidación y crecimiento. En la presente Norma denominamos a estos procesos
como Procesos Críticos de Negocio (PCN)
Los procesos críticos de negocio son la fuente principal de generación de riesgos en cualquier
organización. El Modelo de la Norma SGE 900 en Organización de Prevención de Riesgos
interrelaciona los Riesgos con los Procesos Críticos de Negocio y los Objetivos estratégicos de la
empresa, tal como se muestra en la figura anterior.
10
2.2. Mejora de la eficiencia en la gestión de los Procesos Críticos de Negocio

Para que la empresa alcance sus objetivos, de forma sostenida en el tiempo, debe gestionar de forma
experta los Procesos Críticos de Negocio (PCN).
Ello requiere que la organización disponga de los conocimientos y recursos adecuados para la
planificación, organización, gestión, control y mejora de los Procesos Críticos de negocio.
La evidencia de la disposición de estos Conocimientos y Recursos para la toma de decisiones en los

Procesos Críticos de Negocio es a efectos de esta Norma lo que se denomina Dirección Experta de
Empresa.
Figura 1.1. Mapa Competencial para la Gestión Experta de Empresas
La Adopción de un sistema de gestión experta de empresas, tal y como se establece en la Figura 1.1, favorece
el desarrollo de la Productividad y Competitividad de forma armonizada y sostenida en el tiempo enfatizando
la importancia de:
 Innovación y mejora sostenida en el tiempo

 Fomentar la inteligencia y el conocimiento como fuente de competitividad
 Aumentar la capacidad de identificación de oportunidades y amenazas
 Mayor conocimiento de las debilidades y fortalezas de la organización
 Mejor dominio de la marcha del negocio
 Optimización de los recursos humanos
 Mayor eficiencia en los procesos operativos
11
 Estimular la Gestión Proactiva

 Reducir los tiempos y costes en los procesos de obtención y análisis de información
 Incrementar la calidad y rapidez de las decisiones
 Asegurar la correcta interpretación de la información crítica de negocio
 Disminuir las necesidades de procesos de tratamiento de la información de bajo valor
 Incrementar la capacidad de anticipación y reacción ante los procesos de cambio
 Impulsar la Innovación y Capacidad continua
 Mejora continua de los procesos y procedimientos
 Focalizar el valor en las percepciones de clientes o usuarios
 Dar mayor seguridad sobre la calidad y capacidad de gestión ante terceros
2.3. Enfoque basado en la gestión de la Información, el Conocimiento y la Responsabilidad

Su enfoque consiste en la necesidad de las empresas de poseer un alto nivel de competencia en el
conocimiento de la marcha del negocio y en la toma de decisiones que afectan de forma directa a su
éxito sostenido.
Para que una empresa funcione de forma eficiente y eficaz debe ser gestionada de forma competente y
ello requiere disponer de los recursos adecuados que le proporcionen los conocimientos, criterios de
realización, instrumentos y destrezas necesarias para gestionar de forma experta:
1. Alcanzar los Objetivos estratégicos

2. Desarrollar con éxito los procesos Críticos de Negocio
3. Disponer de un sistema avanzado de Cumplimiento de la Gestión Experta bajo los
criterios P-S-A Problema-Solución-Acción
Estos tres puntos afectan de forma determinante al éxito sostenido de la empresa y en especial:
1. a su viabilidad y competitividad
2. al desarrollo de las personas que las integran
3. a la seguridad y profesionalidad de su gestión
4. a su innovación
5. a su calidad de vida profesional
6. a su responsabilidad social
La Gestión Experta de Empresas responde a la necesidad de la Dirección de cumplir con sus cuatro
objetivos clave:
1. Atraer y mantener clientes

2. Rentabilizar los activos
3. Controlar el pasivo
4. Disminuir los riesgos
Su criterio no es hacer las cosas más rápidas sino hacerlas más eficientes, por lo que persigue tres
criterios fundamentales en la gestión:
1. Conseguir resultados económicos y sociales

2. Asegurar su Consolidación y Crecimiento sostenido
3. Disminuir sus riesgos
12
2.4. Conocimientos y Recursos clave para la dirección experta de empresas

Los rápidos avances en la sociedad de la información y el conocimiento a nivel global han provocado
grandes cambios en las formas de trabajo, dirección y toma de decisiones en las empresas. La presente
Norma da respuesta a estos cambios definiendo un modelo de gestión basado en el conocimiento e
inteligencia aplicable a cualquier empresa independientemente de su tamaño o sector, permitiendo:
I. Determinación de los resultados clave que garantizan el éxito sostenido de las empresas.
II. Identificación de los procesos críticos que explican y predicen el comportamiento de las
empresas y la consecución de sus resultados clave, según las leyes económicas.
III. Determinar los riesgos que afectan de forma relevante a los Procesos críticos de Negocio.
IV. Determinación de instrumentos para la medición, análisis, interpretación y mejora de los
factores críticos de negocio así como a los riesgos que afectan a cada uno de estos procesos
y aseguramiento en la capacidad de obtención, trasmisión, comprensión, retención y
reproducción de la información y conocimientos clave.
La Gestión Experta de Empresas da respuesta, entre otras, a las necesidades:
1) De aplicación inmediata del conocimiento al negocio por las personas esenciales del negocio
para: sus fluctuaciones, su buena gestión en el día a día y su dominio y visión
2) Del conocimiento de la percepción del posicionamiento de la empresa, sus productos y/o
servicios respecto a los competidores en la mente de los clientes.
3) De la identificación del valor de la oferta por parte del mercado.
4) De conocimiento de las diferencias prioritarias entre lo que los clientes esperan y reciben.
5) De identificación de las expectativas y percepciones de los empleados respecto al clima social.
6) De integración, registro y supervisión de las actividades, información y relaciones de la
organización.
7) De la flexibilidad y polivalencia en los puestos de trabajos de las personas de gestión y decisorias.
8) De rápida integración y cualificación de nuevo personal y la formación contínua del actual.
9) De la prevención y corrección de los riesgos que afectan a cada negocio
La SGE 900 como Norma Referencial Internacional en Compliance para la Dirección Experta de
Empresa responde a la misión que asume la organización, para desarrollar la visión de la empresa,
como colectivo, en la forma de atraer y mantener clientes de forma sostenida, con la finalidad de
generar beneficios mediante la producción, desarrollo y/o comercialización de productos y/o
servicios, con los mínimos riesgos.
2.5. Aplicación del Modelo R/S/A Riesgo - Solución- Acción

Desde la primera década de 1900 la Técnica Reducionista adoptada en los organigramas de las empresas
ha dificultado la visión global de las mismas, haciendo más difícil el proceso de identificación de
Problemas y Riesgos de la Gestión, sus soluciones y determinación de acciones eficaces.
A tal efecto, la Norma Referencial Internacional SGE 900 ha determinado las 18 principales fuentes de
Riesgos en la Gestión experta de empresas que dan lugar a los riesgos relevantes y su interrelación con
los objetivos y retos estratégicos que deben alcanzar las empresas para la consolidación y crecimiento
sostenido de las mismas.
13
Figura 1.2.
14
2.6. La Gestión del Cambio

La Norma Referencial Internacional SGE 900 en Compliance y Gestión Experta de Empresas asume como
constante y continuo el cambio en las organizaciones, por lo que éstas deben asegurar la posesión de los
conocimientos, y recursos adecuados, que disminuyan la incertidumbre y riesgos que éste comporta.
Trece son los principales factores que generan e impulsan el cambio continuo y que de forma directa o
indirecta afectan a los procesos de Negocio de las empresas:
I. El ser Humano y sus organizaciones

1. El entorno de la familia
2. El envejecimiento de la población.
3. La inserción laboral de la mujer
4. Los cambios de la juventud
5. Los factores demográficos e inmigración
6. Los nuevos hábitos de consumo
7. La globalización
II. El Planeta y su evolución
1. La gestión de la energía
2. La gestión del agua
3. La gestión del medio ambiente
III. El desarrollo de la Tecnología
1. Las nuevas tecnologías en el trabajo
2. Las nuevas tecnologías en el hogar
3. Las nuevas tecnologías en el individuo
Su continua evolución condiciona la toma de decisiones de los administradores y profesionales de la

Dirección generando un proceso de cambio y mejora continuo.
La gestión experta de empresas favorece y facilita la capacidad de adaptación de las empresas a estos
cambios
La Compliance y Dirección Experta de Empresas favorece la reducción de incertidumbres que incidan o

puedan incidir en la toma de decisiones mediante el análisis general de su entorno y del análisis sectorial
particular en el que se desenvuelve su actividad.
15
3. Objeto, campo de aplicación y exclusiones

3.1. Objeto
Esta Norma Referencial Internacional especifica los requisitos para la Dirección Experta de empresa
cuando un profesional:
a) Necesita tener una visión Global de la empresa que le facilite tomar decisiones de forma coherente y
eficiente
b) Necesita adquirir las competencias (Conocimientos, Criterios de Realización, Instrumentos y

Destrezas) que le proporcionen un dominio eficaz de la organización
c) Necesita conocer y gestionar de forma experta los Procesos Críticos de Negocio, los riesgos que debe
prevenir y corregir y sus relaciones con los objetivos estratégicos.
d) Necesita para desarrollar con eficiencia sus funciones de Planificación, Organización, Gestión, control
y Mejora, sistemas teóricos armonizados y especializados en Dirección.
e) Necesita un desarrollo profesional continuo que actualice y asegure su competencia a alto nivel
durante su vida profesional activa.
f) Necesita acreditar de forma contundente sus competencias profesionales mediante auditoría

independiente, internacionalmente ante las partes interesadas en la organización.
Esta Norma Referencial Internacional especifica los requisitos para la Compliance, cuando una
organización:
a) Necesita demostrar su competencia para gestionar los procesos críticos de negocio de forma
eficiente disminuyendo los riesgos en la consecución de sus objetivos clave para el éxito
sostenido de la empresa.
b) Pretende incrementar su cualificación en los procesos de toma de decisiones para la

evaluación, prevención, control y mejora de los procesos críticos de negocio para la
consecución de forma armónica y sostenida de su competitividad y productividad
favoreciendo el éxito sostenido de la empresa.
c) Aspira a incrementar la eficiencia de las funciones de planificación, organización, gestión,

control y mejora mediante fundamentos científicos y metodológicos que le asegure una alta
calidad de los mismos.
d) Pretende eliminar incertidumbres y riesgos inherentes al cambio potenciando su capacidad

de adaptación mediante la obtención de métodos y procedimientos que le faciliten la
obtención de la información, su interpretación y toma de decisiones con rapidez y seguridad
en el momento en el que la empresa lo precise.
e) Aplique un Modelo de Organización y Gestión de Prevención de Riesgos para la

identificación, control y supervisión de los riesgos en Compliance.
16
3.1.1. CERTIFICACIÓN DE PERSONAS FÍSICAS EN DIRECCIÓN EXPERTA DE EMPRESAS
El capítulo 6 contiene los requisitos para ser auditados objetivamente para la obtención de la
certificación en Dirección Experta de Empresas para las profesiones vinculadas con la dirección y
gestión de empresas, en actividades como:
 Dirección General de Pymes

 Dirección Experta de Empresas
 Consultor Estratégico y de Gestión
 Compliance Officer
 Coach Experto en Empresas
 Otras actividades vinculadas con la Gestión y Toma de decisiones
Y que evidencien el cumplimiento de esta Norma Referencial en cada uno de estos procesos
críticos de negocio:
 Mercado
 Clientes
 Oferta
 Actividades /Control
 Puestos y Personas.
3.1.2. CERTIFICACIÓN EN COMPLIANCE
Esta Norma establece los requisitos en Certificación de Compliance en los siguientes ámbitos:
 Compliance Penal – Capítulo 10

 Compliance Legal - Capítulo 11
 Corporate Compliance - Capítulo 12
La Certificación en Compliance Legal incluye la Compliance Penal

La Certificación en Corporate Compliance incluye la Compliance Penal y la Legal
3.1.3. EL MODELO DE ORGANIZACIÓN Y GESTIÓN DE PREVENCIÓN DE RIESGOS
En una sociedad global como la actual, basada en la Información, el Conocimiento y la

Responsabilidad, las empresas deben disponer de un Modelo de Organización y Gestión de
Prevención de Riesgos que impulsen su competitividad, productividad y responsabilidad. El Modelo
de Organización y Gestión de Prevención de riesgos facilita el desarrollo y viabilidad de las
Organizaciones de forma sostenida, identificando los factores vitales, importantes y accesorios.
En el gráfico inferior se detalla un esquema del Modelo de Organización y Gestión de Prevención de

Riesgos en Corporate Compliance:
17
Figura 1.3.
3.2. Campo de aplicación

Esta Norma Referencial es aplicable por su estructura a cualquier empresa independientemente de su
tamaño, tipo o sector de actividad.
El carácter genérico y universal de los requisitos establecidos en esta norma la hace extensible a la
certificación profesional en los diferentes apartados en que ésta afecte a la tarea del profesional en la
Dirección y Toma de Decisiones en las empresas.
3.3. Exclusiones
Esta Norma Referencial excluye sistemas de gestión que no responden a criterios de universalidad y que
no son aplicables a cualquier tipo, tamaño o sector de empresa u organización.
Los criterios universales en la gestión son:

o Leyes Económicas aplicables al Proceso Universal de Negocio
o Nuevas Tecnologías aplicables al Proceso Universal de Negocio
o Gestión del Conocimiento integrado al Proceso Universal de Negocio
o Normalizaciones y Responsabilidades aplicables a la Gestión Universal de Negocios
La Certificación en Compliance en Penal y Legal deberán asumir e integrarse con los imperativos legales
que le correspondan a cada empresa a nivel Local, Regional o Autonómico, Estatal e Internacional.
18
4. Referencias, términos y definiciones

4.1. Referencias
• UNE-EN ISO 9000:2015 Sistemas de Gestión de la Calidad. Fundamentos y vocabulario

• UNE-EN ISO 9001:2015 Sistema de Gestión de la Calidad. Requisitos
• UNE-EN ISO 14001:2015 Sistema de Gestión ambiental. Requisitos con orientación para su uso
• UNE- ISO 31000:2010 Gestión del Riesgo. Principios y directrices
• UNE – ISO 19600: 2015 Sistema de gestión de Compliance
• Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal
• Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica el Código Penal
• Circular 1/2016, de la Fiscalía General del Estado, sobre la Responsabilidad penal de las personas
jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica 1/2015
• Ley de Prevención de Riesgos Laborales (PRL)
• Ley Orgánica 15/1999 LOPD Protección de Datos de Carácter Personal
• Real Decreto 951/2005, Marco general para la mejora de la Calidad en la Administración General
del Estado
• Real Decreto 1514/2007, Plan General de Contabilidad
• Guía para el Desarrollo de Cartas de Servicios del Ministerio de Administraciones Públicas. Primera
Edición de 2006
• Orden JUS/206/2009 de 28 de Enero de 2009. Ministerio de Justicia
• Modelo Servqual de Calidad de Servicio: Zeithaml, Parasuraman y Berry
• LEY ORGÁNICA 5/2002, de 19 de junio, de las Cualificaciones y de la Formación Profesional.
• Instituto Nacional de las Cualificaciones INCUAL
• Centro Europeo para el Desarrollo de la Formación Profesional CEDEFOP
• Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del
terrorismo Europeo.
• Código de Buen Gobierno de las Sociedades Cotizadas elaborado por la Comisión Nacional del
Mercado de Valores
• Ley Orgánica 12/1995, de 12 de diciembre, de Represión del Contrabando.
 Ley Chilena, Núm. 20.393 , de 2 de diciembre de 2009, de responsabilidad penal de las personas
jurídicas frente a delitos de cohecho, lavado de activos y financiamiento del terrorismo
19
4.2. Términos y Definiciones
Para los fines de este documento debe entenderse como ‘Competencias’, aquellas que rigen las
actividades y toma de decisiones de los profesionales vinculados con la implementación y
mantenimiento de la presente norma, incluyendo conocimientos, criterios de realización,
instrumentos y destrezas.
Para los fines de este documento debe entenderse como:

“Compliance Penal” el cumplimiento del modelo de organización y gestión de prevención de los
riesgos de carácter delictivo que se puedan cometer por parte de la Organización como persona
Jurídica, independientemente de la nomenclatura que se pueda utilizar en el país de aplicación.
“Compliance Legal” el cumplimiento del modelo de organización y gestión de prevención de aquellos

riesgos contractuales o legales derivados de la legislación nacional o internacional que obligue a la
Organización. También incluye la compliance penal.
“Corporate Compliance”, el cumplimiento del modelo de organización y gestión de prevención de los

riesgos de carácter operacional y de gestión de la Organización, según la Norma Referencial
Internacional SGE 900, que incluye la compliance penal y la compliance legal.
Para los fines de este documento debe entenderse como ‘Conocimientos’, acervo de hechos,
principios, teorías y prácticas relacionados con la toma de decisiones en las funciones clave de la
dirección que afectan de forma directa o indirecta a los procesos críticos de negocio (PCN).
Para los fines de este documento debe entenderse como ‘Destrezas’, habilidad para aplicar
conocimientos y técnicas avanzadas con el fin de gestionar de forma eficiente los procesos y toma
de decisiones relacionados directa o indirectamente con los procesos críticos de negocio, mediante
el uso de métodos, herramientas e instrumentos.
Para los fines de este documento debe entenderse como ‘Estándares Internacionales’ aquellos que
rigen de forma voluntaria los comportamientos y actuaciones de la organización, incluyendo los
valores, los principios éticos y de conducta y códigos internos.
Para los fines de este documento debe entenderse como ‘Gestión experta de empresa’, disponer de
los conocimientos y recursos adecuados que proporcionen a la organización la competencia y
capacidad demostrada para gestionar de forma experta los Procesos Críticos de Negocio (PCN).
Para los fines de este documento debe entenderse como “Idoneidad”, la adecuación a las
características propias a la Organización.
Para los fines de este documento deben entenderse como ‘Leyes Económicas’ aquellas que rigen las
actividades y los Procesos Críticos de Negocio que determinan los resultados económicos de la
Organización.
Para los fines de este documento deben entenderse como ‘Normativas y Obligaciones’ aquellas que
rigen y limitan las actuaciones de la organización y de las personas que la integran.
20
Para los fines de este documento debe entenderse como ‘Organización’, a la persona jurídica a la que
le afecta el cumplimiento de los riesgos de compliance.
Para los fines de este documento debe entenderse como ‘Órgano de gobierno’, el órgano de
administración de la persona jurídica.
Para los fines de este documento debe entenderse como ‘Peligro’, factores que por su alto riesgo son
las principales fuentes de fracaso de las empresas.
Para los fines de este documento debe entenderse como ‘Procesos Críticos de Negocio’ (PCN),
procesos identificados con fundamento científico y carácter sistemático en los que puede aplicarse
sistemas de control, evaluación y gestión de carácter preventivo o de corrección con el objetivo de
prevenir o eliminar peligros que obstaculicen la productividad y competitividad de las empresas y
que su identificación, control y gestión aseguren la cualificación de la empresa y de los profesionales
de la dirección en la gestión experta de empresa.
Para los fines de este documento debe entenderse como ‘Recursos’, los medios adecuados para
garantizar la calidad y eficiencia en los procesos de toma de decisiones de alto nivel que influyen, de
forma directa, en la gestión de los Procesos Críticos de Negocio (PCN).
Para los fines de este documento debe entenderse como ‘Resultados clave’, conjunto de resultados
cuya consecución de forma sinérgica proporcionan los fundamentos y bases sólidas para impulsar el
éxito sostenido de la empresa.
Para los fines de este documento debe entenderse como ‘Riesgo’, factores que por su alta
sensibilidad e influencia a los cambios, tanto internos como externos, generan situaciones de alta
incertidumbre en la consecución de los resultados clave de la empresa y como consecuencia en el
éxito sostenido de la misma.
Para los fines de este documento debe entenderse como ‘Riesgo de compliance’, la probabilidad de
que ocurran incumplimientos con consecuencias para la organización respecto a las obligaciones de
prevención de riesgos de compliance.
Para los fines de este documento, son aplicables los términos y definiciones incluidos en las normas
ISO 9000, ISO 9001, ISO 31000, ISO 14001 y ISO 19600.
A lo largo del texto de esta Norma referencial, cuando se utilice el término “producto”, éste puede
significar también “servicio”.
Para los fines de este documento “Lista Robinson” es un sistema de gestión integrada de direcciones
de correo electrónico y postales que facilita a la empresa el respeto a aquellos usuarios que no
deseen recibir información de la organización.
Para los fines de este documento “Debe” implica obligatoriedad de cumplimiento del requisito
aplicable, mientras que “Debería” se utiliza para indicar una guía (si bien no de carácter obligatorio)
respecto a una manera reconocida de cumplir con el requisito en cuestión.
21
Para los fines de este documento debe entenderse como “Auditoría de Administración y Control” la
evaluación del buen hacer en las áreas: contable, fiscal, registral, laboral y financiera.
Para los fines de este documento debe entenderse como “Herramienta de Información económico-
financiera” el análisis e interpretación de los Balances y Cuentas de Pérdidas y Ganancias que son dos
de los documentos de las Cuentas Anuales cuya estructura es obligatoria y deben depositarse en el
Registro Mercantil.
Para los fines de este documento debe entenderse como “Herramienta de Tesorería y Cash
Management” la evaluación del buen hacer en las áreas: autoconocimiento del cash
management, situación actual del cash management, flujos monetarios de entrada, flujos
monetarios de salida, movimiento de fondos, financiación de déficit/Inversión de excedentes,
relación cliente-proveedor bancario, departamento de tesorería y la previsión en tesorería.
Para los fines de este documento debe entenderse como “Perfil Óptimo de Cliente” el sistema
que a partir de sondeos sobre un universo obtiene cuales son los perfiles más repetitivo y menos
repetitivo y el porcentaje del universo que representan.
Para los fines de este documento debe entenderse como “Visión”, la definición que de forma
explícita o implícita, debe definir la Organización como la visión del logro a alcanzar por la
Organización en el mercado, especificando el sector de mercado en el que actúa, el ámbito
geográfico, el tipo o segmento de cliente y la razón por la que le compran.
(Mercado – Rentabilidad – Visión)
Para los fines de este documento debe entenderse como “Propuesta de valor a clientes”, el
documento que la organización debe desarrollar, donde especifique el valor que ofrece a sus clientes
actuales y potenciales.
(Clientes – Reputación –Propuesta de Valor)
Para los fines de este documento debe entenderse como “Ventaja Competitiva de la oferta”, la
definición que debe definir la ventaja competitiva de la Organización en el mercado.
(Oferta – Rotación – Ventaja Competitiva)
Para los fines de este documento debe entenderse como “Misión”, la misión que asume la
Organización para alcanzar su visión.
(Actividades y Control –Rendimiento- Misión)
Para los fines de este documento debe entenderse como “Valores”, los valores corporativos que la
organización define y que deben regir las conductas y actuaciones de las personas que integran la
organización. (Puestos y personas – Responsabilidad –Valores)
Para los fines de este documento debe entenderse como “Plan de empresa”, el que desarrollará la
organización de acuerdo a su estrategia y diferentes modelos estándares.
Para los fines de este documento debe entenderse como ‘Delitos Penales’ los aplicables a las
personas jurídicas, como por ejemplo los contemplados en el Código Penal Español:
22
Delito Artículo C.P

1 Tráfico ilegal de órganos humanos 156 bis.3
2 Trata de seres humanos 177 bis.7
3 Prostitución/ explotación sexual/ corrupción de 189 bis
menores
4 Descubrimiento y revelación de secretos y 197 quinques
allanamiento Informático
5 Estafas 251 bis
6 Frustración de la ejecución 258 ter
7 Insolvencias punibles 261 bis
8 Daños informáticos 264 quater
9 Contra la propiedad intelectual e industrial, el 288
mercado y los consumidores
10 Blanqueo de capitales 302.2
11 Financiación ilegal de los partidos políticos 304 bis.5
12 Contra la Hacienda Pública y contra la Seguridad 310 bis
Social
13 Contra los derechos de los ciudadanos extranjeros 318 bis.5
14 Urbanización, construcción o edificación no 319.4
autorizables
15 Contra los recursos naturales y el medio ambiente 328
16 Relativos a las radiaciones ionizantes 343.3
17 Riesgos provocados por explosivos y otros agentes 348.3
18 Contra la salud pública 366
19 Contra la salud pública (tráfico de drogas) 369 bis
20 Falsificación de moneda 386.5
21 Falsificación de tarjetas de crédito y débito y 399 bis
cheques de viaje
22 Cohecho 427 bis
23 Tráfico de influencias 430
24 Delitos de odio y enaltecimiento 510 bis
25 Financiación del terrorismo 576
26 Contrabando LO 12/1995, de 12 de
diciembre
27 Relativos a la manipulación genética 162
28 Alteración de precios en concursos y subastas 262
públicas
29 Negativa a actuaciones inspectoras 294
30 Delitos contra los derechos de los trabajadores 318
31 Falsificación de moneda 386.4
32 Asociación ilícita 520
33 Organización y grupos criminales y organizaciones 570 quater
y grupos Terroristas
23
5. Regulaciones y Compatibilidades
5.1 Regulaciones y Normalizaciones
La evidencia del cumplimiento de los requisitos específicos establecidos en el presente documento no
exime a las organizaciones del cumplimiento de las obligaciones de tipo Mercantil, Laboral,
Administrativas, Civiles, Sociales derivadas de la aplicación de la normativa/legislación aplicable en
cada caso.
5.2 Compatibilidades
COMPATIBILIDAD REAL DECRETO 951/2005
 Esta norma referencial recoge los requisitos establecidos en los artículos 5.1, 5.2 y 5.3 del
Real Decreto 951/2005 para la mejora de la calidad en la administración, estableciendo
los siguientes requisitos para el sistema implantado:
Artículo 5.1 RD951/2005

“Con la finalidad de conocer la opinión de los usuarios y mejorar la calidad de los
servicios, los órganos y organismos de la Administración General del Estado realizarán
estudios de análisis de la demanda y de evaluación de la satisfacción de los usuarios con
respecto a los servicios de cuya prestación sean responsables, utilizando para ello
técnicas de investigación cualitativas y cuantitativas.”
El sistema implantado debe utilizar técnicas de investigación cualitativas y cuantitativas
de análisis de la demanda y evaluación de la satisfacción de los usuarios con respecto a
los servicios de cuya prestación sean responsables las organizaciones.
“Los estudios de análisis de la demanda tendrán por objeto la detección de las
necesidades y expectativas de los usuarios acerca de los aspectos esenciales del servicio,
en especial sus requisitos, formas y medios para acceder a él y los tiempos de respuesta”
El sistema implantado debe realizar de forma experta el análisis y detección de las
necesidades y expectativas de los usuarios acerca de los aspectos esenciales del servicio
o producto de la organización.
En su Artículo 5.3: “Los trabajos de evaluación de la satisfacción de los usuarios tendrán
por objeto la medición de la percepción que tienen estos sobre la organización y los
servicios que presta. Las mediciones de la percepción se realizarán de forma sistemática
y permanente”
El sistema implantado debe evaluar y medir la percepción que tienen los clientes sobre la
organización y los servicios que presta.
24
COMPATIBILIDAD CON LA GUÍA PARA EL DESARROLLO DE CARTAS DE SERVICIOS DEL

MINISTERIO DE ADMINISTRACIONES PÚBLICAS.
 La Guía para el Desarrollo de Cartas de Servicios establece que se utilizaran los resultados
de los trabajos de investigación, encuestas, sondeos y entrevistas para extraer las
conclusiones oportunas y trasladar el lenguaje del cliente, es decir sus percepciones más
o menos desordenadas del producto o servicio, a categorías manejables por la
organización.
 El sistema implantado debe utilizar de forma integrada y automatizada el procedimiento
descrito en la figura 1.4.
Figura 1.4
 Este procedimiento aplicado a la medición de servicios, para facilitar el rigor en la

creación de cuestionarios, debe clasificar los múltiples aspectos relevantes del servicio en las
dimensiones “universales” de la calidad: Fiabilidad, Capacidad de Respuesta, Empatía y
Tangibilidad. (Modelo Servqual de Calidad de Servicio: Zeithaml, Parasuraman y Berry).
25
6. Requisitos para la certificación en Dirección Experta de Empresa

A continuación se detallan los requisitos auditables para la obtención de la certificación en Dirección
Experta de Empresa para profesionales de la Dirección y Compliance Officer Profesional que evidencien el
cumplimiento de esta Norma Referencial para cada uno de estos procesos críticos de negocio que siguen:
6.1 Mercado
6.1.1 ANÁLISIS ESTRATÉGICO DEL ENTORNO.
 El sistema implantado debe integrar instrumentos que permitan a la organización el

análisis de su entorno en general, considerando:
 Factores económicos
 Factores socioculturales
 Factores Tecnológicos
 Factores Político-Sociales
 Factores Particulares
análisis de su sector en particular, considerando:
 Análisis dinámico de la competitividad del sector
 Viabilidad de entrada de nuevos competidores
 Identificación de la fuerza de los clientes
 Identificación de la fuerza de los proveedores
 Identificación de productos sustitutivos
 El sistema implantado debe extraer las conclusiones oportunas que permitan a la
organización analizar sus amenazas, oportunidades, debilidades y fortalezas, aportando:
 Concreción en la determinación de las amenazas y oportunidades de la
organización ante el entorno y su sector
 Análisis de sus amenazas y oportunidades
 Facilitar las acciones de respuesta ante sus amenazas y oportunidades según
corresponda:
 acciones de protección
 acciones de respuesta
 acciones de posición
 acciones de relación
26
6.1.2. AUDITORÍA INTERNA DE LA IMPLEMENTACIÓN ESTRATÉGICA
 El sistema implantado debe integrar instrumentos que permitan a la organización la

implementación estratégica en general, considerando:
o Análisis Externo
o Análisis y Estrategia
o Clientes
o Competencias
o Distribución
o Entono Socio económico
o Marketing Mix
o Mercado
o Merchandising
o Plan de Marketing
o Política de Precios
o Política de Productos
o Publicidad
o Relaciones Públicas
o Ventas
o Particulares
6.1.3. ANÁLISIS DEL POSICIONAMIENTO COMPETITIVO DE LA EMPRESA
 El sistema implantado debe integrar instrumentos que permitan a la organización

conocer, evaluar y mejorar el posicionamiento de mercado de su marca, productos y/o
servicios respecto de sus competidores, siguiendo el esquema de la Figura 1.4.
 La información que proporcione el sistema debe indicar de forma clara donde está sobre
invirtiendo y donde sus inversiones le aportarán mayores resultados. Aportando
información a la empresa para una mayor eficiencia en sus inversiones en innovación.
 La información obtenida debe extraer las conclusiones oportunas trasladando el lenguaje
del cliente de forma clara y con rigor, informar a la persona responsable de la
organización del orden en el que el cliente sitúa a su marca, producto y/o servicio, para
permitir optimizar sus recursos en Investigación, Desarrollo, Innovación, Marketing, y
Comercial.
 El sistema implantado debe facilitar la generación del plan de acciones, su seguimiento y
la comparativa de resultados de la aplicación de dichas acciones en el tiempo
determinado por la organización
6.1.3.1 AUDITORÍA INTERNA DE LA GESTIÓN DEL POSICIONAMIENTO DE LA EMPRESA
 El sistema implantado debe proporcionar a las personas responsables, implicadas y

autorizadas en el posicionamiento del negocio, sistemas de auditoría y autodiagnóstico
27
que de forma rápida y objetiva les permitan verificar y detectar los puntos a potenciar y
mejorar.
6.2. Clientes
6.2.1 ANÁLISIS DE “GAPS” ENTRE PERCEPCIONES Y EXPECTATIVAS DE LOS CLIENTES.
 El sistema implantado debe integrar los instrumentos que permitan a la empresa medir,
analizar, y mejorar la satisfacción de los clientes, utilizando una metodología que facilite
la obtención de un informe experto y objetivo; que contenga en gráfico de matriz y por
importancia las expectativas y percepciones de los clientes, siguiendo el procedimiento
de la Figura 1.4.
6.2.2 AUDITORÍA INTERNA DE LA GESTIÓN DE LA SATISFACCIÓN DEL CLIENTE
 El sistema implantado debe proporcionar a las personas responsables, implicadas y

autorizadas en la satisfacción de los clientes sistemas de auditoría y autodiagnóstico en la
gestión interna de calidad, contemplando como mínimo el desarrollo de los siguientes
factores:
o Necesidades de los clientes
o Valoraciones de los clientes
o Diferencias entre grupos de clientes
o Sugerencias de mejora y gestión de reclamaciones
o Mejora continua
o Fortalezas y debilidades competitivas respecto a la competencia
o Satisfacción de los clientes internos
o Comunicación

6.2.3 ANÁLISIS Y EVALUACIÓN DE PERFILES DE CLIENTES
 El sistema implantado debe disponer de herramientas para la obtención de datos y

posterior emisión de un informe que especifique el perfil óptimo del cliente basándose
en los procedimientos de la Figura 1.4.
28
6.3 Oferta
6.3.1 DETERMINACIÓN DEL PRECIO SEGÚN “VALOR PARA EL CLIENTE”
 El sistema implantado debe proporcionar un instrumento que le facilite el método
necesario para, de forma cuantitativa, determinar el precio según mercado, aportando a
la dirección o a la persona responsable y autorizada el precio óptimo según mercado y
desglosando los precios: máximos, mínimos y descartados.
 En su fijación o determinación deberían considerarse tres grandes apartados:
 Los costes de la empresa
 Los precios de la competencia
 y el valor para el cliente
6.3.2 ANÁLISIS Y EVALUACIÓN DE ATRACTIVIDAD GLOBAL DE LA OFERTA

 El sistema implantado debe proporcionar información sobre los criterios y medios para
poder evaluar la percepción de la oferta por parte de los clientes de forma fácil, rápida y
objetiva que determine las debilidades y fortalezas de la misma y una matriz
interrelacionando el grado de importancia con la evaluación; siguiendo el procedimiento
de la Figura 1.4., en función de los diferentes segmentos de mercado a los que se dirija la
organización.
6.3.3 PREVISIONES EMPRESARIALES A CORTO PLAZO
 El sistema implantado debe aportar un instrumento sencillo y fácil de análisis y

previsiones de series temporales aportando previsiones con intervalos de confianza
mínimos entre 65% y 95%. Así mismo debe incorporar conocimientos y conceptos sobre
previsiones cuantitativas para facilitar la comprensión y valor de su aplicación.
6.3.4 AUDITORÍA INTERNA DE GESTIÓN DE LA OFERTA

análisis de gestión de la oferta en general, considerando:
o Estrategia de Marketing
o Estudios Motivacionales
o Nuevos Productos
o Decisiones sobre producto
o Decisiones sobre precio
o Decisiones sobre distribución
o Decisiones sobre comunicación
o Control y Acciones de Mejora
o Particulares
29
6.4. Actividades/Control
6.4.1 ANÁLISIS ECONÓMICO FINANCIERO DE LA EMPRESA

 El sistema implantado debe facilitar un instrumento que proporcione información para la
interpretación de los datos tanto propios como de competidores y proveedores. Así
mismo debe poder realizar simulaciones de proyecciones sobre la Cuenta de Pérdidas y
Ganancias.
 El sistema debe disponer claramente identificado una herramienta de análisis económico
financiero que con el mismo formato del registro mercantil (JUS 206/2009) proporcione a
la empresa un informe que le permita la interpretación de la información económico-
financiera, tanto propia como de clientes, competidores, proveedores y colaboradores.
6.4.2 AUDITORÍA INTERNA EN ADMINISTRACIÓN Y CONTROL

 El sistema implantado debe disponer claramente identificado como auditoría de
Administración y Control de una herramienta que permita realizar un checklist y
proporcione un diagnóstico y los puntos a potenciar y a mejorar, contemplando como
mínimo el desarrollo de los siguientes factores:
o Área contable
o Área fiscal
o Área registral
o Área laboral I
o Área laboral II
o Área financiera y de seguridad
 El sistema implantado debe permitir realizar la comparación entre una organización en

diferente tiempo o entre dos organizaciones.
determinado por la organización.
6.4.3 AUDITORÍA INTERNA DE TESORERÍA Y CASH MANAGEMENT

 El sistema implantado debe disponer claramente identificado como auditoría de
Tesorería y Cash Management una herramienta que permita realizar un checklist y
proporcione un diagnóstico y los puntos a potenciar y a mejorar. Debe permitir realizar la
comparación entre una organización en diferente tiempo o entre dos organizaciones.
30
6.4.4 AUDITORÍA INTEGRAL DE LA EMPRESA

 El sistema implantado debe proporcionar a la organización instrumentos de evaluación y
diagnóstico que le faciliten información que permita verificar y detectar sus puntos a
potenciar y mejorar en factores relacionados con los diferentes ámbitos de la
organización, incluyendo al menos las siguientes áreas:
o Estratégico
o Directivos Clave
o Gestión de Nuevos Proyectos
o Financiero
o Producción
o Marketing
o Comercial
o RRHH
o Proveedores
o Capacidad de Servicio
o Colaboradores Externos
o Sistemas de Información y Tecnológicos
 La metodología implantada debe permitir la generación del plan de acciones, su

seguimiento y la comparativa de resultados de la aplicación de dichas acciones en el
tiempo determinado por la organización.
6.5. Puestos y Personas

6.5.1 ANÁLISIS Y EVALUACIÓN DEL CLIMA LABORAL Y SOCIAL.
 El sistema implantado debe proporcionar el instrumento adecuado para medir analizar y
mejorar el Clima Social de la organización aportando información de las percepciones y
prioridades de los empleados, recomendaciones de actuación y un gráfico que
interrelacione prioridades y percepciones en escala de muy alta a muy baja.
Permitiéndolo hacer por las diferentes áreas que a la organización le pueda interesar;
siguiendo el procedimiento de la Figura 1.4.
6.5.2 ANÁLISIS Y EVALUACIÓN DE LA RESPONSABILIDAD SOCIAL EMPRESARIAL

 El sistema implantado debe proporcionar a la organización un instrumento de evaluación
y diagnóstico que le facilite de forma automatizada un informe que contemple el
desarrollo, como mínimo, de los siguientes factores:
o Política de actuación en el lugar de trabajo
o Política medioambiental
o Política de mercado
o Política social
o Valores de la empresa
31
 El informe debe proporcionar información numérica y escrita, de forma clara e inteligible

para cualquier usuario, e indicar los factores a corregir y a potenciar, y poder
personalizarse mediante editor de textos.
6.5.3 AUDITORÍA INTERNA EN GESTIÓN GERENCIAL

 El sistema implantado debe disponer claramente identificado un sistema de
autoevaluación de la capacidad gerencial que le facilite de forma automatizada un
informe que contemple el desarrollo, como mínimo, de los siguientes factores:
o La gestión y el control
o La gestión y la eficiencia
o Los seis pasos para competir con éxito
o La gestión y la toma de decisiones
o La gestión y la innovación
o La gestión y el tiempo
o La gestión y el estrés
o La gestión y su orientación al marketing
o La gestión y los recursos humanos
o La negociación
o La gestión y la calidad
o La gestión y el liderazgo

6.5.4 EVALUACIÓN DE LA ORGANIZACIÓN: CULTURA E INNOVACIÓN
 Evaluación de la Organización: Cultura e Innovación, contemplando como mínimo los

siguientes apartados:
o Información y formación
o Gestión y Comunicación
o Innovación y Cambio
o Puestos de Trabajo
o Motivación y cohesión social
o Sensibilidad al cambio
32
7. Norma Referencial Internacional SGE 900 en Compliance
7.1. Introducción
Es un hecho la amplia diversidad y singularidad de las empresas en su estructura organizativa, modelos

de negocio, extensión de sus transacciones, sus productos, servicios, clientes e interrelaciones externas
con proveedores.
La presente Norma Referencial tiene como finalidad facilitar la adopción y ejecución de un modelo de
organización y gestión de prevención de riesgos altamente eficaz, por parte de las Organizaciones, con
el objetivo de prevenir y reducir significativamente los riesgos que puedan afectar a su consolidación,
crecimiento y reputación.
Esta Norma Referencial Internacional es aplicable a todas las Organizaciones, independientemente de su

tamaño, complejidad o área de negocio.
La Norma Referencial Internacional SGE 900: 2016 en Compliance contiene los siguientes apartados:
a) Criterios para la Certificación en Compliance

b) Requisitos Comunes para la Certificación en Compliance
c) Requisitos para la Certificación en Compliance Penal
d) Requisitos para la Certificación en Compliance Legal
e) Requisitos para la Certificación en Corporate Compliance
La presente Norma Referencial tiene por objeto proporcionar la máxima adecuación, eficiencia y
seguridad en la prevención y corrección de riesgos, sin limitar la necesaria capacidad de adaptación de
las organizaciones a su mercado y entorno, así como la flexibilidad y polivalencia de sus recursos
organizativos.
La presente Norma Referencial establece los conceptos, criterios y principios a aplicar para el desarrollo,
gestión y verificación eficaz del modelo de organización y gestión de prevención de riesgos, adaptable a
las necesidades de cualquier Organización, sin importar su tipo, tamaño o sector de actividad.
La presente Norma Referencial tiene en cuenta de forma prioritaria los siguientes aspectos:
 Facilitar la comprensión de la organización.

 Dar uniformidad en los criterios R/S/A (Riesgo-Solución-Acción).
 Facilitar un método de priorización eficiente VIA (Vital/
Importante/Accesorio).
 Integrar todas la fuentes de riesgos en la cultura y conductas éticas de la
organización.
 Relacionar los riesgos con las acciones de planificación y los objetivos
estratégicos.
 Armonizar las responsabilidades de control y gestión de la Organización,
entre el Órgano de Gobierno y los socios.
 Aportar confianza y seguridad a todas las partes implicadas en la
Organización.
33
 Facilitar la labor de todos los implicados en el sistema de gestión de

Compliance, tanto emisores como receptores, internos o externos.
 Simplificar la adopción a cualquier nivel de la organización de la toma de
decisiones vinculadas con Compliance y la integración entre departamentos
y/o unidades de negocio.
 Fortalecer, cimentar y dar solidez a las capacidades de consolidación y
crecimiento de las empresas.
 Aportar criterios y métodos que facilitan la seguridad y eficacia en:
a) Medidas de vigilancia y control.
b) Reducción significativa de riesgos
c) Supervisión y verificación del modelo organizativo
d) Asignación de recursos idóneos
e) Coherencia en asignación de responsabilidades.
f) Transformación de obligaciones en oportunidades
g) Identificación de los riesgos
h) Proceso de evaluación de los riesgos.
i) Desarrollo de procedimientos y protocolos.
j) Desarrollo y difusión de la información
k) Adopción de los procedimientos que aseguren la cultura de
cumplimiento.
7.2. Objeto
Esta Norma Referencial Internacional especifica los requisitos para la gestión en Compliance cuando:
a) El Órgano de Gobierno necesita tener conocimiento en relación a la situación de riesgos y

responsabilidades en los que se encuentra el citado Órgano y la Organización.
b) Los socios deseen tener confianza sobre la situación de riesgos en los que pueda incurrir la
Organización y las actuaciones llevadas por la misma.
c) La Organización quiera estar en disposición de acreditar ante las Autoridades su compromiso

inequívoco de cumplimiento de sus obligaciones.
d) La Organización adquiere el compromiso firme y explícito de generar conocimiento y conciencia

sobre los valores, conductas y comportamientos éticos que deben cumplir todas las personas que la
integran.
e) La Organización debe establecer los criterios y principios irrenunciables en sus relaciones con
terceros.
f) La Organización asume como principio fundamental dar el máximo grado de confianza y

transparencia a sus clientes.
g) El Órgano de Gobierno asume el compromiso y la responsabilidad de dotar a los profesionales de

la gestión de riesgos de las competencias y recursos idóneos para alcanzar sus objetivos.
h) La Organización desea manifestar su firme compromiso e implicación con el desarrollo de una

sociedad responsable y con la mejora de la calidad de vida sostenible.
34
7.3. Campo de Aplicación

La presente Norma Referencial establece los conceptos, criterios y principios a aplicar para el desarrollo,
gestión y verificación eficaz del modelo de organización y gestión de prevención de riesgos, adaptable a
las necesidades de cualquier Organización, sin importar su tipo, tamaño o sector de actividad.
La Norma Referencia Internacional SGE 900:2016 en Compliance y Dirección Experta de Empresas

establece los requisitos para la certificación del modelo de organización, gestión y prevención de riesgos
en los siguientes ámbitos:
a) Compliance Penal
b) Compliance Legal
c) Corporate Compliance
Esta Norma Referencial Internacional es de carácter genérico y universal y para su aplicación en cada país
deberá regirse por la normativa que le es de aplicación.
7.4. Referencias
Las referencias que afectan a la Norma Referencial Internacional de Compliance y Dirección Experta
de Empresas, se encuentran en el Punto 4.1 de esta Norma.
7.5. Términos y definiciones

Los términos y definiciones que afectan a la Norma Referencia Internacional en Compliance y
Dirección Experta de Empresas, se encuentran en el Punto 4.2 de esta Norma.
7.6. Regulaciones y normativas

Independientemente de la situación geográfica de la Organización, ésta deberá cumplir con la
legislación vigente que le vincule en el ámbito nacional e internacional.
Respecto al término “Compliance Penal” se dirige a aquellos riesgos de carácter delictivo que se
puedan cometer por parte de la Organización como persona Jurídica, independientemente de la
nomenclatura que se pueda utilizar en el país de aplicación.
Respecto al término “Compliance Legal” se dirige a aquellos riesgos contractuales o legales

derivados de la legislación nacional o internacional que obligue a la Organización.
La evidencia del cumplimiento del modelo de organización y gestión de prevención de riesgos, así
como los requisitos específicos establecidos en esta Norma Referencial Internacional, no garantiza ni
exime a las Organizaciones del cumplimiento efectivo de sus obligaciones contractuales y legales
impuestas por la legislación vigente que le sea de aplicación.
35
8. Criterios para la Certificaciónen Compliance
A continuación se detallan los criterios para la obtención de la certificación en Compliance que

evidencien el cumplimiento de esta Norma Referencial en la elaboración e implementación del
Modelo de Organización y Gestión de Prevención de Riesgos.
8.1.Contexto y comprensión de la organización

El Modelo de Organización y Gestión de Prevención de Riesgos implantado debe tener claramente
identificado un método y procedimiento de organización en materia de compliance.
Contexto:
 La Organización, a través de su Órgano de Gobierno, debe manifestar su compromiso

inequívoco, de forma fehaciente, de adoptar e impulsar de forma activa la política de
Compliance a todos los niveles de la misma.
 La Organización debe definir y asegurarse que sus actividades están reflejadas fielmente en
los estatutos sociales, así como analizar y evaluar sus actividades de mercado; clientes;
oferta; control y administración; puestos y personas.
Alcance del modelo:
 La Organización, entendida como entidad con personalidad jurídica propia, debe establecer,
implementar, mantener y mejorar un Modelo de Organización y Gestión de Prevención de
Riesgos, adaptándolo en lo que fuera preciso, al contexto normativo que le es aplicable.
 El modelo de gestión de Compliance a nivel de empresa se fundamenta en los siguientes

criterios:
 Leyes Económicas: que rigen las actividades y los Procesos Críticos de
Negocio que determinan los resultados económicos de la Organización.
 Normativas y Obligaciones: que rigen y limitan las actuaciones de la

organización y de las personas que la integran.
 Estándares Internacionales: que rigen de forma voluntaria los

comportamientos y actuaciones de la organización, incluyendo los valores,
los principios éticos y de conducta y códigos internos.
 Competencias: que rigen las actividades y toma de decisiones de los

profesionales vinculados con la implementación y mantenimiento de la
presente norma, incluyendo conocimientos, criterios de realización,
instrumentos y destrezas.
36
 De los criterios anteriores se establecen tres niveles de cumplimiento para la

Certificación en Compliance:
 Riesgos Penales
 Riesgos Legales
 Riesgos Corporate Compliance (de gestión)
 El Modelo de Organización y gestión de prevención de riesgos se circunscribirá al ámbito

geográfico establecido por la legislación que se le aplique a la Organización de acuerdo
con su actividad tanto nacional como internacional. En tal sentido, en caso de Grupos de
empresas que abarquen diferentes entidades con personalidad jurídica propia, éstas
deberán disponer de forma individualizada de su correspondiente Modelo de
Organización y Gestión de Prevención de Riesgos de acuerdo con la legislación que les
sea aplicable.
 El Modelo de Organización y Gestión de Prevención de Riesgos debe implicar y debe ser

asumido por todas la personas que integran la organización sin importar las
competencias o funciones, así como aquellos colaboradores y/o profesionales que
presten sus servicios de forma continuada a la misma.
Estructura:
 La Organización debe diseñar, gestionar e implementar un Modelo de Organización y

Gestión de Prevención de Riesgos.
 La gestión de Modelo de Organización y Gestión de Prevención de Riesgos debe estar

integrada con la política y cultura de la Organización, y su alta dirección al máximo nivel
debe estar comprometida y asumir de forma expresa y evidenciable la creación y el
desarrollo de un Modelo de Organización y Gestión de Prevención de Riesgos, que facilite
las medidas de planificación, organización, control y mejora continua en la prevención y
reducción de riesgos.
 La Organización debe disponer del Órgano de Compliance, como órgano propio con
poderes autónomos de iniciativa y control para la supervisión y cumplimiento del modelo
de prevención. Puede tener carácter unipersonal: Compliance Officer Profesional, o
colegiado, a través de un Comité de Compliance cuando existan uno o más Compliance
Officer Profesional.
 Las tareas y actividades que implican la función del cumplimiento normativo, pueden
ser realizadas por otros órganos o unidades distintas de la organización, o recurrir a la
contratación de profesionales externos, realizando éstos la función de Compliance
Officer Assistant, siendo el Compliance Officer Profesional o Comité de Compliance, el
órgano responsable de la eficiencia el modelo de Organización y Gestión de prevención
de riesgos.
 Dependiendo del tamaño o complejidad de la organización, la función del Compliance

Officer Profesional o Comité de Compliance pueden estar apoyados por uno o varios
Compliance Assistant, externos o internos, para asegurar la robustez y adaptación a la
proporcionalidad de la estructura y complejidad de la organización. Es responsabilidad de
37
la máxima dirección que la estructura del sistema de compliance sea la adecuada para
asegurar la eficiencia y los resultados del Modelo de Organización y gestión de
prevención de riesgos.
 Organigrama. La Organización debe disponer de un organigrama actualizado que refleje su

estructura, sus relaciones y las funciones que desempeñan, en base al cual el Compliance
Officer Profesional o Comité de Compliance, implementará el Modelo de Organización y
 En caso de que el Compliance Officer Profesional o Comité de Compliance crea oportuno y

para no dejar puntos ciegos en la eficacia y seguridad en la implementación del Modelo de
Organización y Gestión de Prevención de Riesgos, podrá utilizar como criterio para la
identificación, gestión y aplicación de medidas correctivas y preventivas, dentro del Modelo
de Organización y Gestión de Prevención de Riesgos, las actividades según los Procesos
Críticos de Negocio: mercado, clientes, oferta, control y administración, puestos y personas
establecidos en la Norma Referencia Intencional SG 900-2011 para la Gestión Experta de
Empresas .
 Comité de Responsables Ejecutivos. El Compliance Officer o el Comité de Compliance,

dentro de sus atribuciones de autonomía podrá establecer un Comité de Responsables
Ejecutivos con capacidad ejecutiva que participen de forma activa en el desarrollo e
implementación del Modelo de Organización y Gestión de Prevención de Riesgos. Este
Comité en su primer nivel estará compuesto por un máximo de cinco personas que serán
los representantes máximos dentro de la política de Compliance de cada uno de los
procesos críticos de negocio: gestión de mercados; gestión de clientes; gestión de oferta;
gestión de actividades y control y gestión de puestos y personas o por las funciones del
Organigrama que mejor se adapten a estos procesos.
8.2.Responsabilidades, competencias y funciones
La complejidad, diversidad y singularidad de las organizaciones provocan que un aspecto

determinante para la eficiencia del Modelo de Organización y Gestión de Prevención de Riesgos sea
la dimensión y profesionalidad de los miembros de la misma y la definición de sus responsabilidades,
competencias y funciones.
El órgano de gobierno:
 El órgano de Gobierno es el responsable máximo de que la estructura de

compliance sea la adecuada y necesaria para cumplir eficientemente con las
obligaciones encomendadas.
 El órgano de gobierno debe participar, conocer y aprobar los protocolos o
procedimientos que concreten la formación de la voluntad de adoptar las
decisiones y la ejecución del Modelo de Organización y Gestión de Prevención
de Riesgos.
 Corresponde al órgano de gobierno de la Organización conocer, aprobar y
cumplir con el Modelo de Organización y Gestión de Prevención de Riesgos,
asignar los recursos para su gestión y supervisión, así como la decisión última
respecto a los procedimientos a llevar a cabo cuando sea obligada su
intervención.
38
 El órgano de gobierno debe designar un órgano con poderes autónomos de

iniciativa y control, Compliance Officer Profesional o Comité de Compliance,
encomendándole la obligación legal de la función de supervisar la eficacia de los
controles internos del Modelo de Organización y Gestión de Prevención de
Riesgos.
 El órgano de gobierno debe aplicar altos estándares éticos en la contratación y

promoción de directivos y empleados incluyendo en sus descripciones de
puestos de trabajo entre otras, sus responsabilidades en cumplimiento de
compliance.
Compliance Officer Profesional o Comité de Compliance:
Funciones
 El Compliance Officer Profesional o Comité de Compliance es el órgano de la

organización que tiene encomendada legalmente la función de supervisar la
eficacia de los controles internos del Modelo de Organización y gestión de
prevención de riesgos que incluyen las medidas de vigilancia y control idóneas
para prevenir riesgos o para reducir de forma significativa el riesgo de su
comisión.
 El Compliance Officer Profesional o Comité de Compliance debe disponer de

poderes autónomos de iniciativa y control para la supervisión y cumplimiento del
modelo de Organización y Gestión de prevención de riesgos, debe tener acceso a
los procesos internos, información necesaria y actividades de la entidad para
garantizar una amplia cobertura de su función, sin que tenga otras
responsabilidades en las actividades principales de la organización. En
organizaciones de 49 o menos trabajadores la función del Compliance Officer
Profesional la podrá asumir uno o más miembros del órgano de Gobierno. En
organizaciones de 250 o más trabajadores dicha función la realizará el Comité de
Compliance Officer.
 El Compliance Officer Profesional o Comité de Compliance deben tener la

formación necesaria y competencias exigidas para la correcta gestión, aplicación,
implementación y seguimiento del Modelo de Organización y Gestión de
Prevención de Riesgos. En el caso de la Corporate Compliance es requisito que el
Compliance Officer Profesional o uno de los miembros del Comité de Compliance
esté certificado en Dirección Experta de Empresas por la Norma Referencial
Internacional SGE 900.
 El Compliance Assistant debe tener la formación necesaria y competencias

exigidas para el desarrollo de su labor de compliance .
 El Compliance Officer Profesional o Comité de Compliance reporta directamente

al órgano de gobierno de la Organización.
39
Responsabilidades
 Identifica los riesgos en los que puede incurrir la Organización en sus

actividades o procesos de Mercado, Clientes, Oferta, Actividades y Control y
Puestos y Personas, formando parte del Modelo de Organización y Gestión
de Prevención de Riesgos de la Organización.
 Desarrolla las medidas de corrección, vigilancia y control idóneas según las
características de la Organización, para prevenir o reducir los riesgos, a través
del Modelo de Organización y Gestión de Prevención de Riesgos.
 Supervisa el funcionamiento y cumplimiento del Modelo de Organización y
 Debe conocer y aprobar el Código de Conducta de la Organización.
 Se responsabiliza de la resolución de las dudas sobre los riesgos que puedan
surgir en la organización o a las partes implicadas.
 Establece un sistema de comunicación de denuncias e incidencias del Modelo
de Organización y Gestión de Prevención de Riesgos, pudiendo tener carácter
confidencial.
 Recibir y gestionar en plazos razonables, las denuncias y avisos de
incumplimiento del Modelo de Organización y Gestión de Prevención de
Riesgos, incluyendo las relativas al Código Ético y de Conducta, velando por
su confidencialidad.
 Proponer al órgano de gobierno de la organización las sanciones y medidas
disciplinarias que en su caso procedan, a la persona o personas que hayan
incumplido el Modelo de Organización y Gestión de Prevención de Riesgos
incluyendo las del Código Ético y de Conducta.
 Participar con los responsables de las áreas implicadas y supervisar el
desarrollo de las actividades de formación en la organización sobre el
Modelo de Organización y Gestión de Prevención de Riesgos, incluyendo las
del Código Ético y de Conducta.
 Identificar y determinar, en coordinación con el Órgano de Gobierno, el nivel
de información que se debe facilitar a profesionales, empleados y
colaboradores de la organización, así como llevar un registro de la recepción
de dicha información.
 Coordinar con el órgano de gobierno de la organización la contratación de
asesores externos que se consideren necesarios para cumplir con sus
funciones y responsabilidades.
 Verifica y actualiza el Modelo de Organización y Gestión de Prevención de
Riesgos, de forma periódica y siempre que se produzcan cambios en la
organización, en la estructura de control o en la actividad desarrollada que
por su relevancia lo requieran.
 Deberá coordinar con el Comité de Ejecutivos (en el caso de que existiera), o
con los responsables de las diferentes áreas afectadas, la implementación,
control y actualización del Modelo de Organización y Gestión de Prevención
de Riesgos.
 Es responsable de la documentación y comunicación de los informes que
sobre los distintos ámbitos del Modelo de Organización y Gestión de
Prevención de Riesgos se generen.
 Realizar un informe anual que incluya la planificación, organización, gestión,
control y mejora del Modelo de Organización y de Gestión de Prevención de
Riesgos.
40
 Documentar y registrar las actividades que se lleven a cabo en relación al

Modelo de Organización y de Gestión de Prevención de Riesgos y al Código
Ético y de Conducta.
Recursos
 El Compliance Officer Profesional o Comité de Compliance debe contar con

un presupuesto económico adecuado para asegurar el cumplimiento de sus
funciones.
 Disponer de los medios técnicos necesarios que aseguren la eficiencia del
Modelo de Organización y de Gestión de Prevención de Riesgos en sus
procesos de planificación, organización, gestión, control mejora.
 Disponer de los recursos para estar al día sobre las novedades y cambios
legislativos que puedan afectar a los riesgos de la organización.
 Disponer de un registro para los nuevos riesgos que puedan afectar a la
Organización.
Comité de Responsables Ejecutivos
 Comité de Responsables Ejecutivos. El Comité tendrá una participación activa en

los procesos (RIA) Relación, Información, y Acciones a los diferentes de niveles de
la Organización, en las áreas que les afecten de acuerdo con el Modelo de
Organización y de Gestión de Prevención de Riesgos.
Empleados
 Todos los empleados de la Organización deberán asumir y estarán obligados al

cumplimiento del Modelo de Organización y de Gestión de Prevención de Riesgos
y del Código Ético y de Conducta.
Externalización
 El Compliance Officer Profesional o Comité de Compliance debe necesariamente

ser un órgano interno de la organización, siendo su tarea irrenunciable la de
supervisión del modelo. Ello no implica que este órgano deba desempeñar por sí
todas las tareas relativas al Modelo de Organización y de Gestión de Prevención de
Riesgos, pudiendo estar apoyado por uno o varios Compliance Assistant, externos
o internos. Asimismo, puede recurrir a la contratación externa de terceros
profesionales de las distintas actividades concretas que el Modelo de Organización
y de Gestión de Prevención de Riesgos implica.
Destitución, Cese y Sustitución
 Destitución. El Compliance Officer Profesional o uno o más miembros del Comité

de Compliance o Compliance Assistant como profesional, tanto interno como
externo, debe ser destituido cuando se produzcan alguna de las siguientes
situaciones:
-Exista una acusación formal de cualquier delito susceptible de dar lugar
a la responsabilidad penal de la organización
- Cuando exista una resolución judicial o administrativa que lo
inhabilite para administrar o representar cualquier tipo de
41
sociedad mercantil, por incumplimiento relevante de su ejercicio

o de cualquiera de los códigos y normativas internas de la
organización, así como por impedimento físico o enfermedad que le
impida cumplir con sus obligaciones
- Por extinción por parte del órgano de gobierno de su relación laboral o
mercantil
 Cese y sustitución. El Compliance Officer Profesional o uno o más miembros del

Comité de Compliance o el Compliance Assistant, tanto interno como externo,
pueden cesar voluntariamente tras un período de preaviso de quince días,
dirigido al órgano de administración. En tal caso, el órgano de administración
contratará o sustituirá al Compliance Officer Profesional o Comité de Compliance
o Compliance Assistant en un plazo no superior a dos meses.
8.3. Formación, Información y Comunicación
Un aspecto de especial relevancia en el Modelo de Organización y Gestión de Prevención

de Riesgos y del Código Ético y de Conducta es la formación, información y
comunicación.
Formación:
 El Compliance Officer Profesional o Comité de Compliance coordinará con el

órgano de gobierno la formación adecuada y necesaria para que la
organización disponga de los conocimientos y criterios necesarios para evitar
incumplimientos de riesgos, valorando las responsabilidades y funciones de
las personas a las que van dirigidas.
 El objetivo de la formación deber ser el asegurar que las personas que
asistan a los mismos estén en disposición de evitar incumplimientos del
Modelo de Organización y de Gestión de Prevención de Riesgos y del Código
Ético y de Conducta.
 La formación puede ser impartida por el Compliance Officer Profesional,
miembros del Comité de Compliance, Compliance Assistant o especialistas o
asesores internos o externos.
 El Compliance Officer Profesional o Comité de Compliance llevará un registro
de la formación realizada.
Información:
 El Compliance Officer Profesional debe tener acceso a cualquier información

relativa al Modelo de Organización y de Gestión de Prevención de Riesgosa
los diferentes niveles de la organización, por sí mismo o a través del órgano
de gobierno.
 El Compliance Officer Profesional o el Comité de Compliance en

colaboración con el órgano de gobierno coordinarán la difusión de la
42
información necesaria a todas las partes interesadas en el Modelo de

Organización y de Gestión de Prevención de Riesgos.
 El Compliance Officer Profesional o el Comité de Compliance serán los
encargados de transmitir información periódica y actualizada sobre nuevos
riesgos así como sobre las políticas y procedimientos asumidos por la
organización.
 El Compliance Officer Profesional o el Comité de Compliance velarán y serán
responsables de que todos los empleados tengan acceso a la información
que les afecte del Modelo de Organización y de Gestión de Prevención
deRiesgos, y en especial, al Código Ético y de Conducta.
 El Compliance Officer Profesional o el Comité de Compliance desarrollarán
como mínimo una vez al año jornadas de formación sobre compliance con el
objetivo de sensibilizar, implicar, concienciar a profesionales y empleados de
la importancia de realizar una política proactiva de cumplimiento así como
conocer el Modelo de Organización y Gestión de Prevención de Riesgos de la
Organización y el Código Ético y de Conducta.
Comunicación:
 El Compliance Officer Profesional o el Comité de Compliance tendrán

reuniones periódicas con el órgano de gobierno, como mínimo una vez cada
seis meses salvo que las circunstancias requieran de una reunión inmediata.
 El Compliance Officer Profesional o el Comité de Compliance levantarán acta
y llevarán un registro de las reuniones con el órgano de gobierno.
 El Compliance Officer Profesional o el Comité de Compliance fijarán la
política de comunicación interna haciendo énfasis en el compromiso de la
organización y del órgano de gobierno con el cumplimiento de la prevención
de riesgos, así como asegurarse de la comprensión por parte de todos los
empleados.
coordinación con el órgano de gobierno determinarán las partes interesadas
en la gestión del Modelo de Organización y Gestión de Prevención de
Riesgos y el nivel y periodicidad de la información a comunicar.
coordinación con el órgano de gobierno utilizarán los medios de
comunicación que consideren más adecuados para la comunicación y
comprensión del Modelo de Organización y de Gestión de Prevención de
Riesgos y el Código Ético y de Conducta.
8.4. Régimen Disciplinario
Con el objetivo de garantizar la eficiencia y los resultados del Modelo de Organización y

Gestión de Prevención de Riesgos, el Compliance Officer Profesionalo el Comité de
Compliance en coordinación con el órgano de gobierno desarrollará un régimen
disciplinario que como mínimo cualificará los incumplimientos en:
- Leves
- Graves
- Muy graves
43
Aplicando en caso de incumplimiento, se aplicarán por la Organización sanciones

disciplinarias. Dentro de la lista sanciones previstas se recogerán como mínimo las
siguientes:
- Apercibimiento
- Sanción
- Despido
Estas sanciones deberán ser conformes con la legislación laboral vigente, derechos de los
trabajadores y convenios colectivos o privados.
Las sanciones aplicables por el régimen disciplinario serán independientes a cualquier

procedimiento judicial o responsabilidad que pudiera derivarse de dichos incumplimientos.
El Compliance Officer Profesional o el Comité de Compliance llevarán un registro de la

aplicación del régimen disciplinario especificando fecha del incumplimiento, acción
disciplinaria y fecha de la misma.
8.5. Código Ético y de Conducta

Fines y Objetivos:
 La organización debe realizar un código ético y de conducta con el objetivo de

desarrollar los principios y valores que asumen en sus actuaciones las personas
que integran la organización, y que debe ser aceptado y cumplido por las
mismas, con los fines de crear:
 Conciencia de pertenencia y confianza a la Organización
 Cultura ética, responsable y diligente de profesionalidad
 El código ético y de conducta refleja de forma fehaciente el firme compromiso de

la Organización con los principios éticos y de conducta responsable y
transparente en todas sus actuaciones.
Responsabilidad:
 El contenido del código ético y de conducta deber ser conocido y aprobado de

forma expresa, antes de su difusión, por el órgano de gobierno, y por el
Compliance Officer o Comité de Compliance, así como cualquiera de sus
modificaciones y actualizaciones.
 Es elemento esencial de la identidad de la Organización y como tal, prioritario e

irrenunciable en el Modelo de Organización y de Gestión de Prevención de
Riesgos para el aseguramiento de las conductas éticas y profesionales de las
personas que integran la Organización.
44
Ámbito de aplicación:
 Los criterios, principios y pautas de actuación contenidos en el código de

conducta deben ser de aplicación a empleados, colaboradores tanto a nivel
laboral como externo y con independencia de su ubicación geográfica o de
funciones. Entendiendo como colaboradores a las personas físicas o jurídicas con
las que existe una relación mercantil fundamentada en la prestación de servicios
de forma continuada en el tiempo, con la organización. Ejemplo, apoderados,
agentes comerciales, etc.
 La organización debe incluir en su código ético y de conducta los principios y

criterios éticos en la contratación y promoción de directivos y empleados, en
especial las prohibiciones de discriminación por razón de género, orientación
sexual, raza, creencias religiosas, políticas sindicales o de cualquier otra índole
que afecten a la dignidad de la persona.
Difusión:
 El código ético y de conducta debe difundirse a todos los empleados,

profesionales y colaboradores que presten servicios de forma continuada a la
organización, teniendo constancia fehaciente la organización, de su recepción.
Denuncias y Represalias y Medidas Disciplinarias:
 El código ético y de conducta debe integrar un canal de denuncia o buzón ético

que especifique los procedimientos de denuncia de cualquier riesgo que haya
sido detectado por cualquier persona de la Organización y que debe tener como
receptor directo al Compliance Officer Profesional o Comité Compliance.
 El Compliance Officer Profesional o Comité de Compliance y el órgano de

Gobierno velarán para que no exista bajo ningún concepto ningún tipo de
represalia contra cualquier empleado que denuncie un incumplimiento, una mala
conducta o cualquier riesgo contra la organización, y serán responsables de que
se realicen las investigaciones oportunas ante cualquier supuesta represalia,
aplicando las medidas disciplinarias a las que hubiere lugar.
Ante Terceros:
 El código ético y de conducta debe especificar de forma concreta y clara que

cualquier incumplimiento del Modelo de Organización y de Gestión de
Prevención de Riesgos o del propio código ético y de conducta, así como
cualquier política o procedimiento aplicable, puede dar lugar a la generación de
medidas disciplinarias, llegando incluso al despido.
 La organización, previo al cierre de acuerdos comerciales con terceros, y al

establecer los puntos de dichos acuerdos, debe comunicar de forma inequívoca
la existencia y localización del código ético y de conducta e instar a que se
45
cumpla en todo momento su contenido, reservándose el derecho a rescindir

cualquier contrato o relación comercial que no cumpla con los mismos.
 La organización debe cerciorarse que en sus relaciones con terceros inclusive con
proveedores, éstos cumplen con la prevención de delitos especialmente los
relacionados con financiación del terrorismo, prevención de blanqueo de
capitales, corrupción y soborno este último tanto activo como pasivo, así como
de que dispone de las cualificaciones preceptivas necesarias.
 La aceptación del código ético y de conducta es un cumplimiento previo a la

suscripción de cualquier tipo de contrato con la organización y para mantener y
continuar cualquier tipo de relación comercial con la misma.
 Dentro del Modelo de Organización y Gestión de Prevención de Riesgos de la

presente Norma, se establecen los requerimientos mínimos de la información
documentada que debe contener el código ético y de conducta.
9. Requisitos Comunes para la Certificación en Compliance
9. 1. Identificación
9.1.1. IDENTIFICACIÓN DE LA ORGANIZACIÓN
Denominación social, domicilio, número de identificación fiscal,
9.1.2. IDENTIFICACIÓN DEL ÓRGANO DE ADMINISTRACIÓN
 Forma del órgano de administración
 Identificación de los miembros del órgano de administración: Datos

personales de los miembros del órgano de administración: nombre,
apellidos, DNI y cargo
9.1.3. IDENTIFICACIÓN DE LA ORGANIZACIÓN DE COMPLIANCE
 Forma del Órgano de Control de Compliance: Compliance Officer

Profesional, Comité de Compliance
 Identificación de los miembros del órgano de control de compliance: nombre

y apellidos, DNI, acreditación del nombramiento por el órgano de dirección
9.2. Contexto y Compresión de la Organización

9.2.1. FORMA JURÍDICA DE LA ORGANIZACIÓN
9.2.2. OBJETO SOCIAL Y ESTATUTOS SOCIALES
46
9.2.3. ESTRUCTURA ACCIONARIAL O DE PARTICIPACIÓN Y EMPRESAS VINCULADAS
9.2.4. CARACTERÍTICAS Y ACTIVIDADES DE LA SOCIEDAD:
 Definir las actividades de la empresa
 Cifra de negocio, Resultados y Número de Empleados
 Número de establecimientos y localización
 Mercado / Clientes/ Oferta/ Actividades y Control/ Puestos y Personas
9.2.5. ORGANIGRAMA DE LA ORGANIZACIÓN, Y DEFINICIÓN DE LAS FUNCIONES Y

RESPONSABILIDADES
9. 3. Políticas, funciones y obligaciones de compliance

9.3.1. MANIFESTACIÓN DE LA VOLUNTAD DE ADOPCIÓN DE LA POLÍTICA DE COMPLIANCE
 Acuerdo del órgano de Gobierno para asumir las políticas, funciones y

obligaciones de compliance
9.3.2. DESIGNACIÓN DEL COMPLIANCE OFFICER
 Acuerdo del órgano de gobierno de creación, competencias y designación del

Compliance Officer Profesional
9.3.3. ACUERDO DEL ÓRGANO DE GOBIERNO DE CREACIÓN DEL MODELO DE

ORGANIZACIÓN Y GESTIÓN DE PREVENCIÓN DE RIESGOS
9.3.4. IDENTIFICACIÓN DE LOS RESPONSABLES PARTICIPANTES EN LA ELABORACIÓN DEL

MODELO
 Nombre, apellidos, cargo y DNI
9.4. Objetivos, Finalidades y Alcance del Modelo
9.4.1. DETERMINAR LA FINALIDAD Y OBJETIVOS DEL MODELO
9.4.2. ALCANCE DEL MODELO:
9.4.2.1. ALCANCE GEOGRÁFICO
9.4.2.2. NORMATIVA CONTEMPLADA
9.4.2.3. PARTES SUJETAS AL MODELO
9.4.3. ESPECIFICACIÓN DE LOS CRITERIOS PARA LA ELABORACIÓN DEL MODELO
47
 Por ejemplo, identificación de riesgos por procesos, áreas o actividades de

negocio
9.5. Órgano de Compliance

9.5.1. COMPOSICIÓN Y REQUISITOS DEL ÓRGANO DE COMPLIANCE
9.5.1.1. ÓRGANO UNIPERSONAL (COMPLIANCE OFFICER PROFESIONAL) O

ÓRGANO COLEGIADO (COMITÉ DE COMPLIANCE)
9.5.1.2. REQUERIMIENTOS Y CUMPLIMIENTOS REQUERIDOS AL ÓRGANO DE

COMPLIANCE
9.5.2. RÉGIMEN DE FUNCIONAMIENTO Y COMPETENCIAS
9.5.2.1. AUTONOMÍA
 Poderes para ejercer su función con autonomía con acceso y reporte

directo al órgano de gobierno
9.5.2.2. ACCESO A TODA LA ORGANIZACIÓN
 Autonomía para acceder a cualquier información relativa a compliance a

los diferentes niveles de la organización, por si misma o a través del
órgano de gobierno
9.5.2.3. DOTACIÓN DE RECURSOS
 Disponibilidad de recursos económicos y técnicos adecuados para la

gestión eficiente del Modelo
9.5.2.4. FUNCIONES Y RESPONSABILIDADES
 Identificación y aprobación por el órgano de gobierno de las funciones y

responsabilidades asignadas
9.5.2.5. ÓRGANOS DE APOYO A LA FUNCIÓN DE COMPLIANCE
9.5.2.5.1. COMITÉ DE RESPONSABLES EJECUTIVOS
 Identificar cargos, nombre, apellidos, DNI, lugar de ubicación,

(acreditación mediante acta de constitución firmada por cada
miembro del Comité)
9.5.2.5.2. COMPLIANCE OFFICER ASSITANT
 Identificar Compliance Officer Assitant interno o externo

(nombre, apellidos, especialización y cualificación), ámbito de
actuación concreta del asesoramiento o colaboración.
48
9.5.2.5.3 EXTERNALIZACIÓN
 Identificar, funciones, cualificación y responsabilidades de los

colaboradores externos en la política de Compliance.
9.5.2.6. COMUNICACIÓN
9.5.2.6.1 Identificar partes interesadas, el nivel de información y la

periodicidad de la misma, aprobada conjuntamente con el Órgano
de Gobierno.
9.5.2.6.2. Identificar los medios de comunicación de la Organización

para la alcanzar los fines establecidos en el modelo.
9.5.2.6.3 Desarrollo de una política de comunicación interna que

evidencie el compromiso de la Organización con el cumplimiento de la
prevención de riesgos aprobada y asumida por el Órgano de
gobierno.
9.5.2.6.4. Transmisión de información sobre nuevos

riesgos o políticas y procedimientos sobre los mismos, asumidos por la
organización.
9.5.2.6.5. Desarrollo de sesiones informativas al personal y a

profesionales con objetivo de implicar, sensibilizar, implicar y
concienciar de la importancia de la política de cumplimiento .
9.5.2.7 OBLIGACIÓN DE DOCUMENTACIÓN DE LAS ACTUACIONES
9.5.2.7.1. Registro documental de todas las actuaciones del Órgano de

Compliance en el ejercicio de sus funciones.
9.5.2.7.2. Realización de reuniones periódicas entre el órgano de

compliance y el órgano de gobierno.
9.5.2.8. FORMACIÓN
9.5.2.8.1. Desarrollo formación adecuada y necesaria, interna o externa, para que la

organización disponga de los conocimientos y criterios necesarios actualizados para
evitar incumplimientos de riesgos, coordinados por el órgano de compliance y el
órgano de gobierno y valorando las responsabilidades y funciones de las personas
a las que va dirigida.
9.5.2.8.2. Registro de todas las actuaciones de formación realizadas en materia de

compliance.
49
9.5.2.9. ASESORAMIENTO
Resolución de las dudas presentadas en la organización en relación a la

aplicación del Modelo.
9.5.2.10. CANALES DE DENUNCIAS O BUZÓN ÉTICO
9.5.2.10.1. Recibir y analizar los avisos de violación del modelo de compliance

o de existencia de riesgos no contemplados, por los miembros de la
organización a través del canal de denuncias.
9.5.2.10.2. Prohibición de asunción de cualquier tipo de represalias.
9.5.2.10.3. El sistema debe garantizar el anonimato de las denuncias.
9.5.2.11. RÉGIMEN DISCIPLINARIO
Desarrollo de un régimen disciplinario en coordinación con el órgano de

gobierno y registro de su aplicación.
9.5.2.12. ACTUALIZACIÓN Y REGISTRO DE NUEVOS RIESGOS E INFORMACIÓN AL

ÓRGANO DE GOBIERNO
9.6. Código Ético y de Conducta

9.6.1. Desarrollo de un código de conducta, que debe ser conocido y aprobado por el órgano de
gobierno y el Órgano de compliance
9.6.2. El Código ético y de conducta debe establecer como mínimo los criterios, principios, y
pautas de actuación que comprometen y obligan a todas los empleados independientemente a su
ubicación y funciones. En especial, debe incluir el canal de denuncias (o buzón ético) expresando
de forma clara como ejercitar el derecho de informar sobre riesgos y más concretamente,
aquellas conductas y códigos de comportamiento que afecten a las actividades de la Organización
en: mercado; clientes; oferta; actividades y control; puestos y personas; y a los riesgos de
corrupción, sobornos, blanqueo de capitales, regalos de negocios; conflictos de intereses.
9.6.3. El Código Ético y de Conducta debe difundirse de forma que facilite su conocimiento y
comprensión a todas las personas implicadas, y constando fehacientemente su recepción por
empleados, colaboradores y profesionales que presten su servicios de forma continuada a la
Organización.
50
10. Requisitos para la Certificación en Compliance Penal
En relación a los riesgos penales que afecten a la Organización, según la legislación del País en el que
se aplique.
El Modelo de Organización y Gestión de prevención de Riesgos Penales debe estar firmado por un
profesional del derecho habilitado para el ejercicio profesional o por un Compliance Officer
Certificado, que acredite la idoneidad de la evaluación de riesgos y las medidas adoptadas por la
organización.
10.1. Sistema de Gestión de Compliance de Riesgos Penales

El Sistema de Gestión de Compliance de Riesgos Penales debe:
1.- Identificar los riesgos penales susceptibles que puedan afectar a la organización en sus
actividades de: mercado, clientes, oferta, actividades y control, puestos y personas, desglosados de
la siguiente forma:
A) riesgos penales no aplicables a la organización, exponiendo el motivo por el que no aplican
B) riesgos penales aplicables a la organización, exponiendo el motivo por el que sí aplican
2.- Identificar el grado de cumplimiento de los riesgos penales y su trazabilidad:
A) con el 100% de grado cumplimiento
B) con >50% de grado de cumplimiento
C) con <50% de grado de cumplimiento
D) con 100% de grado de incumplimiento.
3. Mantener un registro anual en que quedará reflejado la situación real de la identificación de los
riesgos que no permitirá en ningún caso su modificación por ningún medio.
4.- Asociar los riesgos a su nivel de gravedad de acuerdo a la probabilidad y su consecuencia.
5.- En los riesgos de carácter penal, asociar cada riesgo a los delitos que pudieran derivarse.
6.- Identificar los riesgos según su procedencia: evaluación o denuncia.
7.- Aplicar los protocolos y procedimientos idóneos para la prevención y corrección de los riesgos de
la organización, y realizar un seguimiento activo de su trazabilidad, incluyendo responsables, fecha
de inicio y finalización, coste, recursos, estado y resultado de la acción.
8.- Tratar de forma centralizada todos los riesgos gestionados por la organización.
9.- Permitir identificar, prevenir o corregir más de un riesgo con un único procedimiento cuando se
dé la circunstancia.
51
10.- Permitir asociar todos los documentos o evidencias a los protocolos y/o procedimientos de la
prevención y corrección de riesgos.
11- Garantizar que a todo protocolo se le asigne un código único.
12- Incorporar un organigrama con los requisitos, funciones y responsabilidades para:
a) identificar cada puesto de trabajo en la organización.
b) designar las personas responsables de llevar a cabo cada uno de los procedimientos
establecidos, las personas que podrían desempeñarlo dentro de la organización y el
procedimiento de sustitución de un empleado que causa baja en el puesto.
c) establecer la formación e información necesaria en materia de compliance en función de

cada puesto
13.- Permitir la denuncia de forma confidencial.
14.- Llevar un seguimiento de los procedimientos y medidas preventivas y correctivas y de su

trazabilidad.
15.- Permitir priorizar los protocolos y procedimientos por los criterios de importancia alta, normal y
baja e identificarlos de forma sencilla, así como su selección
16.- Emitir de forma escrita y periódica de acuerdo con el órgano de gobierno o cuando las
circunstancias así lo requieran, un informe del modelo de organización y gestión de prevención de
riesgos, donde se desglosen los indicadores relevantes respecto al sistema de gestión de riesgos
penales y se difunda a todas las personas implicadas, teniendo constancia fehaciente de su
recepción.
17.- Incorporar un sistema de control de acceso que garantice la privacidad y confidencialidad de los
datos del sistema.
18.- Garantizar que una vez asignado un protocolo o procedimiento a un riesgo identificado como
incumplimiento no se podrá modificar o alterar su evaluación de aplicabilidad hasta que no quede
cerrado el protocolo.
52
11. Requisitos para la Certificación en Compliance Legal
En relación a los riesgos legales que afecten a la Organización, según la legislación del País en el que se
aplique, siendo necesario que previamente se haya llevado a cabo la Compliance Penal especificada en
el punto anterior.
El Modelo de Organización y Gestión de prevención de Riesgos Legales debe estar firmado por un
profesional del derecho habilitado para el ejercicio profesional o por un Compliance Officer Certificado
que acredite la idoneidad de la evaluación de riesgos y las medidas adoptadas por la organización.
11.1.Sistema de Gestión de Compliance de Riesgos Legales

El Sistema de Gestión de Compliance de Riesgos Legales debe:
1.- Identificar los riesgos legales susceptibles que puedan afectar a la organización en sus actividades
de: mercado, clientes, oferta, actividades y control, puestos y personas, desglosados de la siguiente
forma:
A) riesgos legales no aplicables a la organización, exponiendo el motivo por el que no aplican
B) riesgos legales aplicables a la organización, exponiendo el motivo por el que sí aplican
2.- Identificar el grado de cumplimiento de los riesgos legales y su trazabilidad:
5.- Permitir asociar cada riesgo legal a las consecuencias que pudieran derivarse.
53
a) identificar cada puesto de trabajo en la organización

cada puesto

trazabilidad.
baja e identificarlos de forma sencilla, así como su selección
legales y se difunda a todas las personas implicadas, teniendo constancia fehaciente de su recepción.
datos del sistema.
54
12. Requisitos para la Certificación en Corporate Compliance
En relación a los riesgos en Corporate Compliance que afecten a la Organización, según la legislación
del País en el que se aplique, y será necesario que previamente se haya llevado a cabo la Compliance
Legal especificada en el punto anterior (que incluye la Penal).
La Organización para certificarse en Corporate Compliance debe tener dentro de su órgano de

compliance un profesional cualificado en la Norma Referencial Internacional SGE 900 en Dirección
Experta de Empresas, que de esta forma acredite tener las competencias para aplicar el modelo de
Organización y Gestión de prevención de Riesgos de Corporate Compliance que afecten a la
Organización.
El Modelo de Organización y Gestión de Prevención de Riesgos Corporate Compliance debe estar

firmado por un profesional del derecho habilitado para el ejercicio profesional y por un profesional
certificado en Dirección Experta de Empresas, que acredite la idoneidad de la evaluación de riesgos y
las medidas adoptadas por la organización.
12.1.Modelo Organizativo: Visión, Propuesta de Valor, Ventaja Competitiva, Misión y Valores
El sistema de Gestión de Corporate Compliance, y de compliance en general, debe comprender la

misión que asume la Organización para desarrollar la visión de la empresa, como colectivo, en la
forma de atraer y mantener clientes de forma sostenida, con la finalidad de generar beneficios
mediante la producción, desarrollo y/o comercialización de productos y/o servicios con eficiencia y
mínimos riesgos.
Para facilitar la comprensión, implicación y transparencia a todas las partes implicadas, la visión,
propuesta de valor, ventaja competitiva, misión y valores que rigen la Organización, deben ser
aprobados de forma expresa, antes de su difusión, por el órgano de gobierno, y ser conocido por el
Compliance Officer o Comité de Compliance, así como cualquiera de sus modificaciones y
actualizaciones.
 Visión. La Organización debe definir de forma concreta la visión del logro a

alcanzar por la empresa en el mercado, especificando el sector de mercado en el
que actúa, el ámbito geográfico, el tipo o segmento de cliente y la razón por la
que le compran.
(Mercado – Rentabilidad – Visión)
 Propuesta de valor a clientes. La organización debe desarrollar un documento

que especifique el valor que ofrece a sus clientes actuales y potenciales.
(Clientes – Reputación –Propuesta de Valor)
 Ventaja Competitiva de la oferta. La organización debe definir la ventaja

competitiva en el mercado.
55
(Oferta – Rotación – Ventaja Competitiva)
 Misión. La organización debe definir la misión que asume la Organización para

alcanzar su visión.
(Actividades y Control –Rendimiento- Misión)
 Código Ético y de Conducta. La organización debe definir los valores corporativos

que deben regir las conductas y actuaciones de las personas que integran la
organización. (Puestos y personas – Responsabilidad –Valores)
 Plan de empresa. La organización desarrollará un plan de empresa similar a

cualquiera de los dos modelos que se exponen.
Figura 1.5.
12.2.Evaluación Inicial de Riesgos Corporate Compliance
El alcance del Modelo de Organización y Gestión de Riesgos Corporate Compliance, de acuerdo con la
Gestión Experta de Empresa, según la Norma Referencial Internacional SGE 900, define en base a los
Procesos Críticos de Negocio (PCN), las principales fuentes de riesgos operacionales y de gestión de
toda Organización.
Dichos riesgos operacionales afectan a la Gestión de la Organización, relacionándose directamente con

los resultados clave y objetivos estratégicos para el éxito sostenido de la Organización, debiéndose
tener en cuenta, como mínimo las actividades llevadas a cabo para evitar o minimizar los riesgos,
según la figura 1.3.
56
Para la Certificación en Corporate Compliance, debe realizarse previamente la evaluación de la

situación actual de los Procesos Críticos de Negocio (PCN) en la Organización, que define el contexto,
la comprensión y el alcance del sistema operacional y de gestión de la organización, de forma segura,
rápida y sencilla. Así mismo, identifica las responsabilidades, roles y autoridades en la organización y
relaciona los riesgos operacionales y de gestión para la creación del Modelo de Organización y Gestión
de Prevención de Riesgos Corporate Compliance.
12.2.1. EVALUACIÓN DEL PROCESO DE MERCADO.
Evaluación y Auditoría Interna de la Gestión del Posicionamiento de la empresa
El Compliance Officer Profesional o Comité de Compliance, previo al análisis de los

riesgos de compliance, debe realizar una evaluación y auditoría interna de la gestión
del posicionamiento de la empresa, contemplando como mínimo los siguientes
apartados:
 Proporcionar a las personas responsables, implicadas y autorizadas en el

posicionamiento del negocio sistemas de auditoría y autodiagnóstico
que de forma rápida y objetiva les permitan verificar y detectar los
puntos a potenciar y mejorar.
 Facilitar la generación del plan de acciones, su seguimiento y la
comparativa de resultados de la aplicación de dichas acciones en el
12.2.2. EVALUACIÓN DEL PROCESO DE CLIENTES.
Análisis de “Gaps” entre perceptores y expectativas de los clientes.

riesgos de compliance, debe realizar un análisis de “gaps” entre percepciones y
expectativas de los clientes, contemplando como mínimo los siguientes apartados:
 Integrar los instrumentos que permitan a la empresa medir, analizar, y

mejorar la satisfacción de los clientes, utilizando una metodología que
facilite la obtención de un informe experto y objetivo; que contenga en
gráfico de matriz y por importancia las expectativas y percepciones de los
clientes, siguiendo el procedimiento de la Figura 2.1.
57
Figura 2.1.
Evaluación y Auditoría interna de la Gestión de la satisfacción del cliente

riesgos de compliance, debe realizar una evaluación y auditoría interna de la gestión
de la satisfacción del cliente, contemplando como mínimo los siguientes apartados:
 Proporcionar a las personas responsables, implicadas y autorizadas en la

satisfacción de los clientes sistemas de auditoría y autodiagnóstico en la gestión
interna de calidad, contemplando como mínimo el desarrollo de los siguientes
factores:
 Necesidades de los clientes
 Valoraciones de los clientes
 Diferencias entre grupos de clientes
 Sugerencias de mejora y gestión de reclamaciones
 Mejora continua
 Fortalezas y debilidades competitivas respecto a la competencia
 Satisfacción de los clientes internos
 Comunicación
 Facilitar la generación del plan de acciones, su seguimiento y la comparativa de

resultados de la aplicación de dichas acciones en el tiempo determinado por la
organización.
58
12.2.3. EVALUACIÓN DEL PROCESO DE LA OFERTA.

Previsiones empresariales a corto plazo

riesgos de compliance, debe realizar un análisis de las previsiones empresariales a
corto plazo, mediante:
 Un instrumento sencillo y fácil de análisis y previsiones de series

temporales aportando previsiones con intervalos de confianza mínimos
entre 65% y 95%. Así mismo debe incorporar conocimientos y
conceptos sobre previsiones cuantitativas para facilitar la comprensión y
valor de su aplicación.
12.2.4. EVALUACIÓN DEL ACTIVIDADES Y CONTROL

Evaluación y Auditoría integral de la empresa

riesgos de compliance, debe realizar una evaluación y auditoría integral de la
empresa, contemplando como mínimo los siguientes apartados:
 Proporcionar a la organización instrumentos de evaluación y diagnóstico

que le faciliten información que permita verificar y detectar sus puntos a
potenciar y mejorar en factores relacionados con los diferentes ámbitos
de la organización, incluyendo al menos las siguientes áreas:
 Estratégico
 Directivos Clave
 Gestión de Nuevos Proyectos
 Financiero
 Producción
 Marketing
 Comercial
 RRHH
 Proveedores
 Capacidad de Servicio
 Colaboradores Externos
 Sistemas de Información y Tecnológicos
 Permitir la generación del plan de acciones, su seguimiento y la

comparativa de resultados de la aplicación de dichas acciones en el
59
Análisis Económico Financiero de la Empresa
El ComplianceOfficer Profesional o Comité de Compliance, previo al análisis de los

riesgos de compliance, debe realizar un análisis económico financiero de la empresa,
contemplando como mínimo:
 Información para la interpretación de los datos tanto propios como de

competidores y proveedores. Así mismo debe poder realizar
simulaciones de proyecciones sobre la Cuenta de Pérdidas y Ganancias.
Evaluación sobre la Percepción de riesgos relacionados con los objetivos de la Organización

riesgos de compliance, debe realizar una evaluación sobre la Percepción de riesgos
relacionados con los objetivos de la Organización, de esta evaluación se obtiene:
 El Mapa Perceptual de la situación actual y deseada en la Organización

entre los riesgos y los objetivos estratégicos.
12.2.5. EVALUACIÓN DEL PROCESO DE PUESTOS Y PERSONAS.

Análisis y Evaluación del Clima Laboral y Social

riesgos de compliance, debe realizar un análisis y evaluación del Clima Laboral y
Social, de acuerdo con la figura 2.1., contemplando como mínimo:
 La información de las percepciones y prioridades de los empleados,

recomendaciones de actuación y un gráfico que interrelacione
prioridades y percepciones en escala de muy alta a muy baja.
Permitiéndolo hacer por las diferentes áreas que a la organización le
pueda interesar.
Visión de la Responsabilidad Social de la Organización
El Compliance Officer Profesional o Comité de Complianceprevioal análisis de los riesgos de

compliancedebe realizar un análisis de la situación de la organización en responsabilidad
social empresarial RSE, contemplando como mínimo los siguientes apartados:
 Política de actuación en el lugar de trabajo

 Política Medio Ambiental
 Política de Mercado
 Política social
 Valores de la empresa
60
12.3. Sistema de Gestión de Corporate Compliance

El Sistema de Gestión de Corporate Compliance debe:
1.- Identificar los riesgos de corporate compliance susceptibles que puedan afectar a la organización
en sus actividades de: mercado, clientes, oferta, actividades y control, puestos y personas,
desglosados de la siguiente forma:
A) riesgos de corporate compliance no aplicables a la organización, exponiendo el motivo

por el que no aplican
B) riesgos de corporate compliance aplicables a la organización, exponiendo el motivo por el

que sí aplican
2.- Identificar el grado de cumplimiento de los riesgos de corporate compliance y su trazabilidad:
5.- Permitir asociar cada riesgo de corporate compliance a las consecuencias que pudieran derivarse.
a) identificar cada puesto de trabajo en la organización
61

cada puesto

trazabilidad.
baja e identificarlos de forma sencilla, así como su selección.
legales y se difunda a todas las personas implicadas, teniendo constancia fehaciente de su recepción.
datos del sistema.
13. Informe del Manual de Organización y Gestión de Prevención de

Riesgos
El Compliance Officer Profesional o el Comité de Compliance deben mantener toda la Información

documentada que forma parte del Manual de Organización y Gestión de Prevención de Riesgos,
debidamente identificada, con la fecha y versión actualizada, guardada con los medios, soportes y
copias de seguridad necesarios y siempre a disposición de los órganos de gobierno. Siendo el
encargado de mantenerlos actualizados y realizar el control y seguimiento necesario a través de las
auditorías internas que realiza periódicamente.
Los documentos o informes, que identifican los protocolos y procedimientos, y de los que como
mínimo debe constar el Manual de Organización y Gestión de Prevención de Riesgos, son:
 Código Ético o de Conducta

 Informes Previos del Modelo de Gestión de la Organización
 Informe de Gestión del Sistema de Compliance de Riegos
 Identificación actividades con riesgo
 Identificación de los riesgos aplicables a la Organización y su graduación,
cumplimiento, probabilidad, medidas preventivas, plan de acción, control y
seguimiento.
62
 Planes de Formación
 Plan de Información
 Plan de Reclamaciones y Sanciones
14. Relación con otras Normativas y Regulaciones de Gestión
Otras Normas y Regulaciones cuya implantación son compatibles con la Corporate Compliance y en algunos
casos necesarias, como la adopción de la Ley de Protección de Datos y de Riesgos Laborales, facilitan a la
Organización la implementación de su Modelo de Organización y Gestión de prevención de Riesgos.
14.1 Calidad ISO 9001:2015
El sistema implantado debe tener claramente identificada una metodología de Gestión de la Calidad que
debe estar estructurada siguiendo el proceso:
a) Alcance
b) Contexto de la Organización
c) Liderazgo
d) Planificación, Soporte
e) Operaciones,
f) Evaluación del desempeño
g) Mejora
y debe permitir en cada punto acceder a sus funciones diferentes.
El sistema implantado debe poder facilitar en cualquier momento y a requerimiento de la dirección o

cualquier persona implicada y autorizada de la organización que lo solicite un informe gráfico y escrito
de las estadísticas más relevantes durante el mes en la gestión de incidencias. Su información mínima
debe ser:
1. Estado global de registros resueltos y pendientes
2. Estado global de registros resueltos y pendientes por área de negocio
3. Informe de las nuevas incidencias detectadas durante el periodo
4. Informe de las incidencias resueltas durante el periodo con promedios de tiempo de
resolución
El sistema implantado debe poder convertir de forma automática el informe a diferentes idiomas
nacionales e internacionales para facilitar y no dificultar la interrelación con otras organizaciones
nacionales o internacionales con las que la organización interactúe.
14.2 Medio Ambiente ISO 14001:2015

El sistema implantado debe tener claramente identificado una metodología de Gestión Medioambiental
que debe estar estructurada siguiendo el proceso:
63
a) Alcance
b) Contexto de la Organización
c) Liderazgo
d) Planificación, Soporte
e) Operaciones,
f) Evaluación del desempeño
g) Mejora
y debe permitir en cada punto acceder a sus funciones principales.
El sistema implantado debe poder recibir información de las partes interesadas externas mediante:
• la creación de encuestas
• el envío y recepción de las encuestas por internet
El sistema implantado debe incluir herramientas de registro automático de encuestas, tabulación,

análisis y generación de un informe experto.
14.3. Sistemas de Gestión de la Energía ISO 50001:2011
Especifica los requisitos para establecer, implantar, mantener y mejorar un Sistema de Gestión de la
Energía.
Incluye especificaciones relacionadas con los aspectos que influyen en el desempeño energético:
a) Medición
b) Documentación
c) Información
d) Prácticas para el diseño
e) Adquisición de equipos
f) Sistemas
g) Procesos y Personal
14.4. Prevención de Riesgos Laborales
El sistema debe tener claramente identificado una metodología de Gestión de PRL que debe estar
estructurada siguiendo el proceso:
1.- Pre-evaluación técnica.
2.- Pre-evaluación jurídica.
3.- Organización del sistema de prevención.
4.- Evaluación de riesgos.
4.1.- Seguridad en los lugares de trabajo.
4.2.- Identificación de productos contaminantes.
4.3.- Evaluación inicial y periódica de riesgos.
4.4.- Evaluación riesgos psicosociales.
64
5.- Planificación de la acción preventiva.

6.- Información y formación de los trabajadores.
6.1.- Gestión de la información de los trabajadores.
6.2.- Gestión de la formación de los trabajadores.
7.- Definición de planes de emergencia.
8.- Gestión
8.1.- Vigilancia de la salud.
8.2.- Incidentes y accidentes.
8.3.- Entrega y mantenimiento de Equipos de Protección Individual.
8.4.- Gestión de Incidencias.
9.- Auditorías internas.
14.5. LOPD
El sistema implantado debe tener claramente identificada una metodología de Gestión de LOPD que
debería estar estructurada siguiendo el proceso:
a) Identificación,
b) Legalización y Legitimación,
c) Protección,
d) Mantenimiento y Soporte, y
e) Revisión y Auditoría
y debe permitir en cada punto acceder a sus funciones principales siguiendo un ciclo de mejora
continua que cubra los aspectos definidos en la Ley Orgánica de Protección de Datos Personales
(LOPD) .
El sistema debe impedir de forma automática el envío de correo electrónico a aquellas direcciones
de correo que estén incluidas en la Lista Robinson de la organización.
El sistema debe impedir de forma automática la creación de etiquetas para envíos postales para
aquellos contactos que estén incluidos en la Lista Robinson de la organización.
14.6. Gestión Integral de la Seguridad y Salud en el Trabajo OHSAS 18001:2008

El sistema implantado debe tener claramente identificado una metodología de Gestión
Medioambiental que debe estar estructurada siguiendo el proceso:
a) Dirección,
b) Implementación,
c) Operación,
d) Control de Registros, y
e) Medición, Análisis y Mejora.
65

Norma Sge 900

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Norma Sge 900

Cargado por

Copyright:

Formatos disponibles

Norma Referencial Internacional

Norma Referencial Internacional

De Profesionales vinculados con la Dirección y Gestión de Empresas:

© BEST BUSINESS SERVICES Reproducción prohibida

2.2. Mejora de la eficiencia en la gestión de los Procesos Críticos de Negocio ................................................... 11

2.3. Enfoque basado en la gestión de la Información, el Conocimiento y la Responsabilidad ............................ 12

2.4. Conocimientos y Recursos clave para la dirección experta de empresas ..................................................... 13

2.5. Aplicación del Modelo R/S/A Riesgo - Solución- Acción .............................................................................. 13

2.6. La Gestión del Cambio................................................................................................................................... 15

3. OBJETO, CAMPO DE APLICACIÓN Y EXCLUSIONES .............................................................................................. 16

3.1.2. CERTIFICACIÓN EN COMPLIANCE .............................................................................................................................. 17

3.1.3. El MODELO DE ORGANIZACIÓN Y GESTIÓN DE PREVENCIÓN DE RIESGOS ............................................................... 17

3.2. Campo de aplicación ..................................................................................................................................... 18

3.3. Exclusiones .................................................................................................................................................... 18

4. REFERENCIAS, TÉRMINOS Y DEFINICIONES ....................................................................................................... 19

4.2. Términos y Definiciones ................................................................................................................................ 20

5. REGULACIONES Y COMPATIBILIDADES ............................................................................................................ 24

Artículo 5.1 RD951/2005......................................................................................................................................................... 24

Artículo 5.2 RD951/2005......................................................................................................................................................... 24

Artículo 5.3 RD951/2005......................................................................................................................................................... 24

6. REQUISITOS PARA LA CERTIFICACIÓN EN DIRECCIÓN EXPERTA DE EMPRESA .......................................................... 26

6.1.2. AUDITORÍA INTERNA DE LA IMPLEMENTACIÓN ESTRATÉGICA .................................................................................... 27

6.1.3. Análisis del Posicionamiento Competitivo de la empresa ............................................................................................. 27

6.1.3.1 Auditoría Interna de la gestión del Posicionamiento de la Empresa ......................................................................... 27

6.2.1 Análisis de “Gaps” entre percepciones y expectativas de los clientes. ..........................................................................28

6.2.2 Auditoría Interna de la Gestión de la Satisfacción del Cliente ...................................................................................28

6.2.3 Análisis y evaluación de perfiles de clientes ..............................................................................................................28

6.3 Oferta ............................................................................................................................................................ 29

6.3.2 Análisis y Evaluación de Atractividad Global de la Oferta..........................................................................................29

6.3.3 Previsiones empresariales a corto plazo....................................................................................................................29

6.3.4 AUDITORÍA INTERNA DE GESTIÓN DE LA OFERTA .....................................................................................................29

6.4. Actividades/Control ....................................................................................................................................... 30

6.4.2 Auditoría Interna en Administración y Control ..............................................................................................................30

6.4.3 Auditoría interna de Tesorería y Cash Management......................................................................................................30

6.4.4 Auditoría Integral de la empresa ....................................................................................................................................31

6.5. Puestos y Personas ........................................................................................................................................ 31

6.5.2 Análisis y evaluación de la Responsabilidad Social Empresarial ................................................................................31

6.5.3 Auditoría Interna en Gestión Gerencial .....................................................................................................................32

6.5.4 Evaluación de la organización: cultura e innovación .................................................................................................32

7. NORMA REFERENCIAL INTERNACIONAL SGE 900 EN COMPLIANCE......................................................................33

7.2. Objeto .................................................................................................................................................................. 34

7.3. Campo de Aplicación ............................................................................................................................................. 35

7.4. Referencias .......................................................................................................................................................... 35

7.5. Términos y definiciones ........................................................................................................................................ 35

7.6. Regulaciones y normativas .................................................................................................................................... 35

8. CRITERIOS PARA LA CERTIFICACIÓNEN COMPLIANCE ................................................................................................36

8.2.Responsabilidades, competencias y funciones .................................................................................................. 38

8.3. Formación, Información y Comunicación .......................................................................................................... 42

8.4. Régimen Disciplinario ........................................................................................................................................ 43

8.5. Código Ético y de Conducta ............................................................................................................................... 44

9. REQUISITOS COMUNES PARA LA CERTIFICACIÓN EN COMPLIANCE .............................................................................46

9.2. Contexto y Compresión de la Organización ..................................................................................................... 46

9. 3. Políticas, funciones y obligaciones de compliance ........................................................................................... 47

9.4. Objetivos, Finalidades y Alcance del Modelo .................................................................................................... 47

9.5. Órgano de Compliance .................................................................................................................................... 48

9.6. Código Ético y de Conducta............................................................................................................................... 50

10. REQUISITOS PARA LA CERTIFICACIÓN EN COMPLIANCE PENAL ................................................................................ 51

11. REQUISITOS PARA LA CERTIFICACIÓN EN COMPLIANCE LEGAL ................................................................................ 53

12. REQUISITOS PARA LA CERTIFICACIÓN EN CORPORATE COMPLIANCE ........................................................................ 55

12.2.Evaluación Inicial de Riesgos Corporate Compliance ....................................................................................... 56

12.2.2. EVALUACIÓN DEL PROCESO DE CLIENTES. ................................................................................................................. 57

12.2.3. EVALUACIÓN DEL PROCESO DE LA OFERTA. ............................................................................................................... 59

12.2.4. EVALUACIÓN DEL ACTIVIDADES Y CONTROL ............................................................................................................. 59

12.2.5. EVALUACIÓN DEL PROCESO DE PUESTOS Y PERSONAS............................................................................................. 60