Curso: Implementador ISO 37001

Taller 8: Identificación de los requisitos de la norma, calificación del hallazgo

A continuación, se le brindan una serie de casos. Para cada uno de los casos
determine los siguientes puntos:

- Requisito de la norma ISO 37001 asociado.

- Indicar si para usted el hallazgo sería una no conformidad, observación o pista
de auditoría.
- Indicar qué parte del caso es la que lo lleva a determinar el requisito de la
norma, así como la calificación del hallazgo.

1) En una empresa proveedora de concreto que ha implementando el SGAS, el

Auditor consulta por las medidas implementadas para obtener información
suficiente para evaluar la naturaleza y el alcance del riesgo de soborno de sus
empleados que están relacionados a riesgos de soborno significativo (riesgo más
que bajo).

El Oficial de Cumplimiento le informa al Auditor que se ha establecido verificar

semestralmente lo siguiente:
 Si presenta registros en las centrales de riesgo crediticio
 Antecedentes penales
 Antecedentes judiciales

El auditor consulta si para el Jefe de Ventas y el Jefe de Compras se han

definido la obtención de datos adicionales para evaluar la naturaleza y el alcance
del riesgo de soborno, a lo que el Oficial de Cumplimiento responde que la
información que se obtiene semestralmente para todo el personal con riesgos
significativos de soborno es la misma.

Requisito: Clasificación del hallazgo:

Sustento:

2) Durante una auditoría se le pregunta al nuevo Jefe de Ventas Zona Sur, de una
empresa que comercializa insumos para la industria minera, sobre la política de
regalos de la empresa, a lo que el responde sobre un tema que le pasó hace dos
meses, realizando la siguiente denuncia:

“Para ingresar como proveedor en una operación minera, nosotros ofrecimos un

descuento del 20% sobre nuestros precios de lista. Sobre dicho tema, el Gerente
de Compras del cliente nos llamó y nos ofreció asignarnos la cuenta con solo el
10% de descuento y el restante 10% se lo entregáramos directamente a él en
efectivo mensualmente”
 Curso: Implementador ISO 37001

El Auditor solicita que le explique a quien denunció este hecho, a lo que el Jefe
de Ventas Zona Sur indica que lo reportó a su Gerente de Ventas en su
condición de superior jerárquico.

Cuando se pregunta al Gerente de Ventas como se trató el hecho denunciado,

éste responde que se dispuso no aceptar el pedido del gerente de compras del
cliente. El Auditor le pregunta si tomaron alguna acción adicional y a quiénes
informaron sobre lo decidido, a lo que el Gerente de Ventas indicó que no fue
necesario comunicar a nadie más dentro de la organización y que felicitó al
nuevo Jefe de Ventas Zona Sur por su actitud.

Requisito: Clasificación del hallazgo:

Sustento:

3) El Programa de Responsabilidad Social de la empresa para los siguientes dos

años tiene como público objetivo niños menores de 5 años, enfocado en temas
de educación y salud. De la revisión de las donaciones se identificó la entrega de
US$ 25,000 para la ONG “Emprendedores Regionales”

El Auditor consulta con el Oficial de Cumplimiento si está considerado identificar

y analizar el perfil de los Directivos de la mencionada ONG, así como el destino
de los fondos asignados; a lo que el Oficial de Cumplimiento dice que no
identificaron a una ONG como socio de negocio con riesgo más que bajo, sin
embargo realizará nuevamente esa evaluación en el momento.

Al cabo de unos minutos, el Oficial de Cumplimiento le entrega al auditor la

nueva evaluación de la ONG, indicando que la Presidenta de la ONG es la
esposa del Gobernador Regional y que esa región es cliente de la empresa.

Requisito: Clasificación del hallazgo:

Sustento:

4) Durante una auditoría a una compañía de construcciones industriales, el Auditor

le pide al responsable de la Función de Cumplimiento Antisoborno, que le
indique los criterios con que definen la frecuencia con que revisan la evaluación
de riesgos de soborno.
 Curso: Implementador ISO 37001

El responsable le responde "nosotros hemos realizado un exhaustivo análisis de

los posibles riesgos de soborno cuando implementamos el SGAS hace dos años
y desde entonces hacemos un estricto seguimiento de los controles, por lo tanto,
consideramos que no es necesario revisar la evaluación inicial”

El auditor le pregunta si han habido cambios en estos dos últimos años y el

responsable le responde: “como estructura orgánica nos hemos mantenido,
pero hemos incrementado el número de personal, así como de nuevos roles,
porque ganamos diversas licitaciones, en particular en Argentina y Paraguay, lo
que implica un desafío ya que son nuevos mercados para nosotros.
De todos modos, si bien crecimos en número de personas, actividades
operativas y en facturación, las actividades operativas las desarrollamos
siempre de la misma manera por lo que no necesitamos modificar nada en
nuestro SGAS”

Requisito: Clasificación del hallazgo:

Sustento:

5) Usted está auditando una pequeña empresa de 40 trabajadores que se

especializa en diseñar software para diferentes organismos públicos.

Le solicita al Gerente General que le indique a quién ha designado para cumplir

la función de cumplimiento antisoborno. El Gerente General le responde que
dado el tamaño de la organización, él ha optado por contratar a un consultor
externo, quien hace tres años los ayudó a implementar el Sistema de Gestión
Ambiental y aparentemente tiene muy buenos conocimientos de las Normas
ISO en general, incluyendo la antisoborno.

Ud. le solicita ver la información documentada sobre la competencia del

mencionado consultor, a lo que el Gerente General le responde: "sería absurdo
que le pidamos registros de su competencia, ya que el consultor es muy
conocido en el mercado, además fue él quien nos guío en la implementación del
sistema de gestión antisoborno e incluso se encarga de las auditorías internas”.

Requisito: Clasificación del hallazgo:

Sustento:
 Curso: Implementador ISO 37001

6) La Municipalidad ha establecido como alcance de su sistema de gestión

antisoborno al proceso “Ejecución de acciones coactivas”, la cual está
referida a la ejecución de desalojos, cierre de locales, demolición de
construcciones no autorizadas, decomiso de mercadería, entre otros.
Este proceso no puede ejecutarse si previamente no se le informa al
administrado que hay una orden de ejecución coactiva. El auditor se encuentra
revisando los controles operacionales del proceso de ejecución coactiva.

Riesgo Controles actuales P C Nivel Riesgo Acciones de control P C Residual

Retraso intencional Ninguno 3 3 Alto Código de ética 1 3 Bajo
de la ejecución por (Significativo Canal de denuncias (No
soborno ) Control diario de actividades significativo)
Pérdida intencional Ninguna 3 3 Alto Código de ética 1 3 Bajo
de la notificación (Significativo Canal de denuncias (No
previa ) Control diario de actividades significativo)
Información Contraseña de 2 3 Medio Código de ética 1 3 Bajo
susceptible de acceso a programas (Significativo Canal de denuncias (No
manipulación para de trabajo ) Control diario de actividades significativo)
favorecer

Cuando el auditor consulta cómo se monitorea que la orden de ejecución

coactiva se ejecuta dentro de los 7 días después de entregada la notificada, tal
como lo establece la legislación aplicable, a lo que el jefe del área menciona
que no disponen de un reporte para monitorear los 7 días, pero que diariamente
el personal reporta los trabajos realizados.

Requisito: Clasificación del hallazgo:

Sustento:

7) Para el riesgo “pagos a los clientes para que nos adjudiquen contratos,
mediante incremento de las comisiones a los vendedores, las cuales se derivan
a los responsables de compra”, una de las acciones de control es “establecer
los criterios para el cálculo de comisiones y obtener la aprobación de los
importes por parte del Jefe de Ventas, Gerente Comercial y del Gerente
Financiero”. Para este propósito la organización ha desarrollado un archivo
Excel con los criterios a considerar, los porcentajes e importes.

Cuando solicita el archivo Excel donde se realiza el cálculo y pago de

comisiones del último semestre, el Jefe de Ventas le muestra el mencionado
archivo. Usted como auditor se da cuenta que los fórmulas ni los resultados
están protegidos y tampoco tienen contraseña para acceder a esta información.

Requisito: Clasificación del hallazgo:

 Curso: Implementador ISO 37001

Sustento: