La norma ISO 19600:2015

- COMPLIANCE-

Bilbao
11 de Noviembre del 2016
Indice

•Presentacion IMQ
• Antecedentes – ISO 19600
•Conceptos de la ISO 19600
•Proceso de certificación
Gruppo IMQ
IMQ (Istituto Italiano del Marchio di Qualità) se
fundó en 1951 en Milán (Italia) y tiene como
objeto social la Certificación de Productos y de
Sistemas de Gestión. En materia de certificación
de productos, es especialista en certificación de
normativas y marcado CE, CCC, CSA, GOST, GS,
ENEC, KTW y certificados HAR, así como en todo
tipo de pruebas de laboratorio (pruebas de
compatibilidad electromagnética, producto
médico, etc.…) en todo tipo de ámbitos y
sectores.
Gruppo IMQ
En materia de certificación de sistemas, IMQ, de
igual modo se encuentra acreditado para emitir
certificados de:

* Calidad (ISO 9001:2008).

* Medio Ambiente ( ISO 14001: 2004).
* Seguridad y Salud Laboral (OHSAS 18001:2007).
* Sistemas de Calidad en el sector médico-
sanitario (ISO 13485).
* Seguridad de la Información (ISO 27001:2005).
* Sistemas de Gestión de la Información (ISO
20000:2006).
* Sistemas de Continuidad de Negocio (BS
25999).
* Sistemas de Calidad en el sector de la
alimentación (ISO 22000 / IFS / BRC).
* Certificación Forestal (FSC / PEFC).
IMQ

IMQ
IMQ IMQ-UNICIG Security Systems IMQ Certificate with
Electrical Products Gas Products surveillance

IMQ-EMC EMC
IMQ IMQ Quality Mark International
EMC European Mark “emc- Mark”
Performance Mark

0051

HAR ENEC
European Mark CE
European Mark GS Safety mark marking
for Cables for Household appliances,
Lighting,
ICT, Components
IMQ

QMS EMS OH&S ISMS EnMS

SA 8000 /
ISO 9001 ISO 14001 OHSAS 18001 ISO 27001 ISO 50001
IQNet RS10

Other sectorial
standards:
UNI 13416
QMS Autom. HACCP FMS Food QMS Medical International Railway
ISO 22716
ISO-TS 16949 UNI 10854 ISO 22000 ISO 13485 Industry Standard
ISO 20121

Web Sites International Certification

Certification Mark

ISO 20000 ISO 22301

IT Service Business
Management Continuity
ISO 19600:2015
- ANTECEDENTES

- ¿QUÉ ES LA ISO 19600?

Es una potente herramienta para detectar y gestionar los riesgos por

posibles incumplimientos de sus obligaciones.

Norma internacional que establece un referente de buenas prácticas

en materia de gestión de compliance, más allá de fronteras, culturas y
jurisdicciones.

La norma ISO 19600 se dirige a las organizaciones que quieran

implantar un sistema de gestión que les permita demostrar su
compromiso con los requisitos legales que le son de aplicación y con
aquellos otros requisitos con los que voluntariamente ha decidido
comprometerse.
ISO 19600:2015
- ANTECEDENTES

- ¿QUÉ ES LA ISO 19600?

Se puede implantar a todo tipo de organizaciones.

Cada implantación será diferente ya que cada alcance será

diferente en base a las diferentes naturalezas de cada organización.

La ISO 19600 recoge directrices para implantar, mantener y mejorar un

sistema de gestión de compliance.

La norma tiene 10 puntos pero son de aplicación de implantación del

punto 4 al punto 10.
ISO 19600:2015
ISO 19600:2015

PASO 1
Determinación del alcance y del Sistema de Gestión compliance
(4.3/4.4)

4.3 – Determinación del alcance del Sistema de Gestión Compliance

Hay que identificar un alcance (actividad posteriormente a certificar)

que identifique límites geográficos y organizativos. Importante
identificar sobre todos para aquellas organizaciones que forman parte
de una organización más amplia en una zona determinada.
ISO 19600:2015
PASO 1
Determinación del alcance y del Sistema de Gestión compliance
(4.3/4.4)

4.3 – Determinación del alcance del Sistema de Gestión Compliance

Hay que tener en cuenta para esta definición del alcance:

- Cuestiones externas e internas (contexto regulatorio, social y

cultural, la situación económica, políticas internas, procedimientos,
procesos y recursos) (4.1)
- Las partes interesadas y sus requisitos (4.2).
- Identificar los requisitos Compliance de la organización (Requisitos
que una organización tiene que cumplir). (ejemplos: normas legales
,permisos, licencias, autorizaciones, órdenes, reglas, protocolos,
tratados, convenciones,…) (4.5.1).
ISO 19600:2015
PASO 1
Determinación del alcance y del Sistema de Gestión compliance
(4.3/4.4)

4.3 – Determinación del alcance del Sistema de Gestión Compliance

- Identificar compromisos Compliance organización (Requisitos que

una organización elige cumplir). (acuerdos con grupos de su
comunidad, organizaciones gubernamentales, principios
voluntarios, códigos de prácticas, compromisos medioambientales,
normas o estándares relevantes para la organización (4.5.1)

- El alcance debe estar documentado.

ISO 19600:2015

PASO 2
Identificar a las partes interesadas

4.2 – Comprensión de las necesidades de las partes interesas

Identificación de personas u organizaciones.

Identificar sus requisitos Compliance (Requisitos que una organización

tiene que cumplir).
ISO 19600:2015

PASO 3
Identificación de asuntos internos y externos

4.1 – Comprensión de la organización y de su entorno

Identificar el contexto regulatorio, social y cultural, la situación

económica, políticas internas, procedimientos, procesos y recursos.
ISO 19600:2015
PASO 4
Principios de Buen Gobierno

4.4 – Sistema de Gestión de Compliance y principios de Buen

Gobierno

La organización debe establecer, implementar, mantener y mejorar

un Sistema de Gestión de Buen Gobierno.
Identificar los procesos necesarios y sus interacciones.

Principios de Buen Gobierno:

- Acceso directo de la función de Compliance al órgano de
Gobierno (es quién Gobierna la organización, a quién la Alta
Dirección rinde cuentas).
- Independencia de la función Compliance con autoridad suficiente
y recursos adecuados.
ISO 19600:2015

PASO 4
Principios de Buen Gobierno

4.4 – Sistema de Gestión de Compliance y principios de Buen

Gobierno

El Sistema debe presentar:

- Valores
- Objetivos (cuantificables, medibles, coherentes). Pueden ser
financieros, medioambientales, seguridad, salud). Deben ser
acordes y relacionados con la política.
- Estrategia
- Riesgos
ISO 19600:2015

PASO 5
Establecer la Política de Complicance

5.2 – Política de Compliance

La deben establecer el Órgano de Gobierno y la Alta Dirección (si se

consulta con los empleados mejor).
Debe:
- Adecuada al propósito de la organización.
- Marco de referencia para la definición de objetivos
- Identificar cumplimiento con requisitos legales
- Identificar cumplimiento de mejora continua

Debe estar disponible, accesible y comprensible para los empleados.

ISO 19600:2015
PASO 6
Identificar las obligaciones del Compliance y evaluación de los
riesgos del Compliance

4.5 – Obligaciones de Compliance

4.5.1. – Identificación de las obligaciones Compliance

Deben estar documentadas.

Las obligaciones del Compliance se dividen en:

- Requisitos Compliance de la organización (Requisitos que una

organización tiene que cumplir). (ejemplos: normas legales
,permisos, licencias, autorizaciones, órdenes, reglas, protocolos,
tratados, convenciones,…) (4.5.1).
- Compromisos Compliance de la organización (Requisitos que una
organización elige cumplir). (acuerdos con grupos de su
comunidad, organizaciones gubernamentales, principios
voluntarios, códigos de prácticas, compromisos medioambientales,
normas o estándares relevantes para la organización (4.5.1)
ISO 19600:2015

PASO 6
Identificar las obligaciones del Compliance y evaluación de los
riesgos del Compliance

4.5 – Obligaciones de Compliance

4.5.2. – Mantenimiento de las obligaciones Compliance

La organización debe disponer de procesos que identifiquen

novedades y modificaciones en la legislación. Así se asegura el
cumplimiento continuo.
Además, siempre que exista un cambio deberán implantarlo.
ISO 19600:2015
PASO 6
Identificar las obligaciones del Compliance y evaluación de los
riesgos del Compliance

4.6 – Identificación, análisis y evaluación de los riesgos Compliance

La organización debe identificar sus riesgos Compliace relacionando

sus obligaciones Compliance con las actividades, productos, servicios
que suministra y de ahí, identificar situaciones que pueden dar lugar a
incumplimientos.

Se deben identificar:
- Las causas de los incumplimientos Compliance.
- Las fuentes de los incumplimientos Compliance.
- Las consecuencias de sus incumplimientos Compliance (daños
personales, ambientales, perdidas económicas, daño reputacional
y responsabilidades administrativas).
- La gravedad de sus incumplimientos Compliance.
- Probabilidad de que ocurran
ISO 19600:2015

PASO 6
Identificar las obligaciones del Compliance y evaluación de los
riesgos del Compliance

4.6 – Identificación, análisis y evaluación de los riesgos Compliance

- Hay que comparar el nivel de riesgo identificado con el nivel de

riesgo aceptable y en base a los resultados implantar controles.

Los riesgos se deben reevaluar periodicamente (cada vez que existan

cambios en las actividades, nuevos productos, en la organización,
cambios externos financieros, incumplimientos compliance, etc….).
Para este punto las organizaciones se pueden apoyar en la ISO 31000.
ISO 19600:2015
PASO 7
Planificación para abordar los riesgos del Compliance y para alcanzar
los objetivos

6 – Planificación
6.1. – Acciones para tratar riesgos y oportunidades

Se han de planificar las acciones para tratar los riesgos y las

oportunidades y que posteriormente se pueden implantar en el
Sistema Compliance.
La identificación de los riesgos nos dará, en aquellos en los que existan
incumplimientos o su ratio se bajo, los objetivos a definir.
ISO 19600:2015
PASO 7
Planificación para abordar los riesgos del Compliance y para alcanzar
los objetivos

6 – Planificación

6.2- Objetivos de Compliance y planificación para lograrlos

Objetivos (cuantificables, medibles, coherentes). Pueden ser

financieros, medioambientales, seguridad, salud). Deben ser acordes y
relacionados con la política.
Se han de identificar recursos y responsabilidades para conseguir ese
objetivo y metas temporales y meta final temporal.
 ISO 19600:2015
PASO 8
Planificación operacional y control de los riesgos compliance

8 – Operación
8.1. – Planificación y control operacional / 8.2 – Establecimiento de
controles y procedimientos

Controlar la acciones propuestas para conseguir los objetivos

marcados y su implementación en el Sistema Compliance.
Se pueden crear procedimientos de control a tal efecto.

8.3 – Procesos externalizados

Los procesos externalizados han de ser contralados.
Debe estar identificado cómo riesgo.
Ha de ser contralado y tener identificado en los contratos con los
contratista cláusulas Compliance.
Homologación de proveedores Compliance.
ISO 19600:2015
PASO 9
Evaluación del desempeño e informes de Compliance

9– Evaluación del desempeño

9.1. – Seguimiento, medición, análisis y evalución

Se ha de realizar un seguimiento para verificar que alcanza el

desempeño Compliance.
Se debe confeccionar un Plan de Seguimiento Continuo identificando:
- Procesos
- Programas
- Recursos
ISO 19600:2015
PASO 9
Evaluación del desempeño e informes de Compliance

9– Evaluación del desempeño

9.1. – Seguimiento, medición, análisis y evalución

Se ha de realizar seguimiento en:

- La formación
- Eficacia de los controles
- Asignación eficaz de responsabilidades
- Actualización de obligaciones Compliance
- Eficacia de la Gestión de fallos Compliance
- Casos en los que no existan inspecciones internas de Compliance
ISO 19600:2015

PASO 9
Evaluación del desempeño e informes de Compliance

9– Evaluación del desempeño

9.1. – Seguimiento, medición, análisis y evaluación

La organización debe implementar, evaluar y mantener

procedimientos para buscar y recibir opiniones de su desempeño
Compliance (empleados, clientes, proveedores, reguladores, etc…).
Métodos de recogida de información múltiples.
La información recogida ha de ser clasificada y almacenada.

Posteriormente la información debe ser analizada y tomar decisiones

ya que seguramente se identifiquen nuevos riesgos a considerar.
ISO 19600:2015
PASO 9
Evaluación del desempeño e informes de Compliance

9– Evaluación del desempeño

9.1. – Seguimiento, medición, análisis y evaluación

Se han de desarrollar indicadores medibles que nos ayuden a medir el

logro de nuestros objetivos marcados (6.2) y cuantificar su desempeño
Compliance.
Los indicadores ha de estar relacionados con los riesgos Compliance
de la organización.

Ejemplo de indicadores:
- Porcentaje de empleados a los que se les ha impartido formación
eficaz
- Frecuencia de contactos con reguladores
- Utilización de mecanismos para obtener opiniones
- Tendencias de incumplimientos
ISO 19600:2015

PASO 9
Evaluación del desempeño e informes de Compliance

9– Evaluación del desempeño

9.1. – Seguimiento, medición, análisis y evaluación

Se han de crear informes Compliance que informe a El Órgano de

Gobierno, a la Dirección y a la función Compliance de la evolución
del Sistema.
Se han de presentar estos informes periódicamente.
Si hay un incumplimiento emergente o grave se crearán informes
extraordinarios.
Estos informes debe de ser detallados; ver contenido en 9.1.8.

Plan de Seguimiento Continuo Informes Compliance

ISO 19600:2015

PASO 9
Evaluación del desempeño e informes de Compliance

9– Evaluación del desempeño

9.2. – Auditoria interna

Se han realizar auditorias internas.

Plan de auditorias.
Definición de equipo auditor
Informe de auditoria

9.3. – Revisión por la Dirección

Informe de Revisión por la Dirección a intervalos planificados.

ISO 19600:2015

PASO 10
Gestión de incumplimientos y Mejora Continua

10 – Mejora
10.1 – No conformidades y acciones correctivas

Registros de No Conformidades y de Acciones Correctivas

10.2. – Mejora Continua

La información recopilada nos ha de servir para que el sistema se

retroalimente y mejore.
ISO 19600:2015
PASO 11
Compromiso de la Dirección, Función de Compliance Independiente,
Responsabilidades de todos los niveles, Funciones de apoyo

5 – Liderazgo
5.1 – Liderazgo y Compromiso
El liderazgo y Compromiso de la Alta Dirección y del Órgano de
Gobierno debe ser activo, involucrandose.
La Política Compliance ha ser firmada por el Órgano de Gobierno.
La Alta Dirección debe hacer ver a todos los empleados que la
organización es Compliance.
Continuas declaraciones Compliance claras.
El Complicance debe tener deber de autoridad.

5.3- Roles, responsabilidades y autoridades en la organización

Identificación del Compliance Officer.

Responsabilidades de los empleados.
ISO 19600:2015
PASO 11
Compromiso de la Dirección, Función de Compliance Independiente,
Responsabilidades de todos los niveles, Funciones de apoyo

7- Apoyo
7.1 – Recursos
Identificación de recursos financieros y humanos para la correcta
implantación del Sistema.

7.2 – Competencia y formación

Formación especifica para el Compliance Officer y el equipo humano
destinado al efecto.
Se ha de evaluar la eficacia de las acciones formativas tomadas.
ISO 19600:2015

PASO 11
Compromiso de la Dirección, Función de Compliance Independiente,
Responsabilidades de todos los niveles, Funciones de apoyo

7.2 – Competencia y formación

A otro nivel tanto el Órgano de Gobierno, la Alta Dirección y los
empleados han de recibir formación en Compliance en base a su
posición (formación a medida en función del puesto de trabajo).

7.3 – Toma de conciencia

Generar comportamientos Compliance y no tolerar comportamientos
No Compliance.
Canal abierto a comunicar incumplimientos.
Crear una Cultura Compliance.
ISO 19600:2015
PASO 11
Compromiso de la Dirección, Función de Compliance Independiente,
Responsabilidades de todos los niveles, Funciones de apoyo

7- Apoyo
7.4 – Comunicación
Generación de comunicaciones internas (identificando cuales son las
expectativas de la organización a nivel de Compliance de los
empleados y cuales son los incumplimientos que espera que sean
escalados) y externas a nivel de Compliance (a las partes
interesadas)-

7.5 – Información documentada

Procedimientos y registros del Sistema.

Control de distribución y de copias obsoletas, disponible y protegida.
Revisada por los responsables.
ISO 19600:2015

PROCESO DE CERTIFICACIÓN
Proceso de certificación

FASE 1 FASE 2

REVISIÓN
Dudas
 IMQ IBERICA :

Madrid
C/ Velázquez, 126 - 5ª Planta
28006 - Madrid

Telf. fijo: +34 91 401 22 25

Fax: +34 91 401 69 17

Barcelona:
Telf. fijo: + 34 93 495 05 87

E-mail: info@imqiberica.com
www.imqiberica.com