Salta el contingut
Ciber_UT2_portada.png

Exercicis per treballar en petits grups - UT02: Sistemes de Gestió de Compliment Normatiu

Exercici 1: Anàlisi de Context i Parts Interessades

Objectiu: Identificar el context d'una organització i les seves parts interessades segons ISO 37301

Organització: Grups de 3-4 estudiants Durada: 30-40 minuts

Tasca:

Trieu un dels següents tipus d'empresa i desenvolupeu:

  • Opció A: Una botiga online de roba sostenible amb 50 empleats
  • Opció B: Una clínica dental amb 3 centres a Mallorca
  • Opció C: Una empresa de desenvolupament d'aplicacions mòbils amb clients internacionals

A desenvolupar:

  1. Document de context intern: situació econòmica, estructura, tecnologies i recursos
  2. Document de context extern: regulació, situació geopolítica, social i ambiental
  3. Identificació de parts interessades (mínim 6)
  4. Requisits i necessitats de cada part interessada
  5. Definir l'abast del SGC per aquesta organització

Lliurable: Presentació de 5 minuts amb els documents creats

Exercici 2: Mapa de Riscos de Compliance

Objectiu: Crear un mapa de riscos aplicant la metodologia ISO 31000

Organització: Grups de 3-4 estudiants Durada: 45-60 minuts

Escenari:

Sou l'equip de compliance d'una empresa de telecomunicacions (similar al cas pràctic del tema) que ofereix serveis a particulars i empreses. Recentment heu aconseguit un contracte amb una entitat bancària que exigeix certificació ISO 27001.

Tasca:

  1. Identificar actius crítics de l'empresa (mínim 5)
  2. Per a cada actiu, identificar:
    • Vulnerabilitats (debilitats)
    • Amenaces (circumstàncies desfavorables)
    • Conseqüències/Impactes potencials
  3. Avaluar cada risc amb:
    • Probabilitat (escala 1-5: molt baixa, baixa, mitjana, alta, molt alta)
    • Impacte (escala 1-5: insignificant, menor, moderat, major, catastròfic)
    • Nivell de risc = Probabilitat × Impacte
  4. Crear una taula de riscos ordenada per nivell de risc
  5. Per als 3 riscos més alts, proposar tractament:
    • Evitar, Reduir/Mitigar, Transferir o Acceptar
    • Justificar la decisió

Lliurable: Taula de riscos i presentació visual (poden usar colors: verd=baix, groc=mitjà, vermell=alt)

Objectiu: Comprendre la jerarquia legal i identificar normativa aplicable

Organització: Grups de 4-5 estudiants Durada: 30-40 minuts

Tasca - Part 1: Ordenar Documents Legals

Se us proporcionen aquests documents desordenats. Ordenau-los segons la jerarquia legal espanyola:

  • Reglament General de Protecció de Dades
  • Llei Orgànica de Protecció de Dades (LOPD)
  • Constitució Espanyola de 1978
  • Decret Llei sobre mesures urgents COVID-19
  • Llei de Propietat Intel·lectual
  • Ordre Ministerial sobre teletreball
  • Tractat Internacional GDPR
  • Estatut d'Autonomia de les Illes Balears

Tasca - Part 2: Identificar Normativa Aplicable

Per al vostre tipus d'empresa assignat, identifiqueu:

  • Grup 1: E-commerce de productes electrònics
  • Grup 2: Startup de IA i big data
  • Grup 3: Hospital privat
  • Grup 4: Agència de viatges online
  • Grup 5: Empresa de ciberseguretat

Documenteu:

  1. Mínim 5 lleis/reglaments que afecten la vostra empresa
  2. Classificau-los per ordre jeràrquic
  3. Identifiqueu quina jurisdicció tractaria incompliments (Tribunal, Jutjat...)
  4. Tipus de sanció que podria rebre en cas d'incompliment

Lliurable: Document compartit amb la taula normativa

Exercici 4: Disseny de Política de Compliance

Objectiu: Redactar una política de compliance segons ISO 37301

Organització: Grups de 3-4 estudiants Durada: 45-60 minuts

Escenari:

La direcció de l'empresa de telecomunicacions del Parc Bit us ha encarregat redactar la Política de Compliance de l'organització.

Requisits de la política (segons ISO 37301):

  • Adequada als objectius del negoci
  • Funcionar com a marc de referència per a la gestió del compliance
  • Descriure la funció de compliance
  • Resumir les conseqüències de fallar al compliment
  • Incloure compromisos de complir amb els requisits aplicables
  • Compromís amb la millora contínua

Tasca:

  1. Redactar la Política de Compliance (1-2 pàgines)
  2. Definir rols i responsabilitats principals:
    • Òrgan de govern
    • Compliance Officer
    • Responsables de departament
    • Empleats
  3. Establir un canal de denúncies (com funcionarà?)
  4. Definir el procés sancionador bàsic per incompliments

Lliurable: Document formal de política + esquema organitzatiu

Exercici 5: Auditoria Interna de Compliance

Objectiu: Planificar i executar una mini-auditoria del SGC

Organització: Grups de 4 estudiants (2 auditors + 2 auditats) Durada: 60 minuts

Fase 1: Preparació (15 minuts)

Equip Auditor:

  • Definir objectius, criteri i abast de l'auditoria
  • Preparar checklist basada en ISO 37301 (mínim 10 punts a verificar)
  • Preparar preguntes per a l'entrevista

Equip Auditat:

  • Preparar documentació del SGC:
    • Context de l'organització
    • Política de compliance
    • Taula de riscos
    • Registre de formacions
    • Canal de denúncies

Fase 2: Execució de l'Auditoria (25 minuts)

  • Reunió d'obertura (5 min)
  • Revisió documental i entrevistes (15 min)
  • Reunió de tancament (5 min)

Fase 3: Informe (20 minuts)

L'equip auditor ha de crear un informe d'auditoria que inclogui:

  • Objectiu, abast i criteri
  • Metodologia utilitzada
  • Conformitats trobades (punts forts)
  • No conformitats detectades
  • Oportunitats de millora
  • Conclusions i recomanacions

Lliurable: Informe d'auditoria + pla d'accions correctives

Exercici 6: Cas Pràctic Integral - Implementació SGC

Objectiu: Desenvolupar un SGC complet per a una organització

Organització: Grups de 5-6 estudiants Durada: 90-120 minuts (es pot dividir en 2 sessions)

Escenari:

Sou consultors de compliance contractats per una empresa de serveis informàtics amb les següents característiques:

  • 80 empleats (desenvolupadors, tècnics de suport, administració)
  • Clients: administracions públiques i empreses privades
  • Dades personals: gestionen dades de ciutadans
  • Infraestructura: servidors propis i cloud
  • Recent incident de seguretat que va filtrar dades
  • Necessiten certificació ISO 27001 per un nou client

Tasca - Desenvolupar documentació completa:

1. Context de l'Organització (Domini 4)

  • Context intern i extern
  • Parts interessades i requisits
  • Abast del SGC

2. Lideratge (Domini 5)

  • Política de Compliance
  • Organigrama amb rols i responsabilitats
  • Recursos necessaris (humans, tecnològics, financers)

3. Planificació (Domini 6)

  • Anàlisi i avaluació de riscos (mínim 10 riscos)
  • Objectius de compliance (mínim 5)
  • Pla d'accions amb responsables i terminis

4. Suport (Domini 7)

  • Pla de formació per empleats
  • Pla de comunicació (interna i externa)
  • Control documental

5. Operació (Domini 8)

  • Controls a implementar (mínim 5)
  • Disseny del canal de denúncies
  • Procediment d'investigació d'incidències

6. Avaluació (Domini 9)

  • Indicadors de seguiment (mínim 5 KPIs)
  • Programa d'auditories internes
  • Model d'informe per a la direcció

7. Millora (Domini 10)

  • Procediment de gestió de no-conformitats
  • Pla de millora contínua

Lliurable:

  • Dossier complet del SGC (15-20 pàgines)
  • Presentació executiva (10-15 minuts)
  • Diagrama visual del cicle PDCA aplicat

Exercici 7: Debat - Dilemes Ètics de Compliance

Objectiu: Analitzar situacions reals i prendre decisions de compliance

Organització: Grups de 4 estudiants Durada: 40 minuts

Dinàmica:

Cada grup rep un dilema ètic diferent. Heu de:

  1. Analitzar la situació
  2. Identificar normativa aplicable
  3. Avaluar riscos i conseqüències
  4. Proposar una solució justificada
  5. Defensar la vostra posició davant altres grups

Dilemes:

Dilema 1 - Regal d'un proveïdor: Un proveïdor important us ofereix entrades VIP per un partit del Barça com a "agraïment" per la col·laboració. El contracte amb aquest proveïdor està en procés de renovació. Què feu?

Dilema 2 - Dades personals: Un client important demana accés a dades d'usuaris per fer estudis de mercat. Les dades són vostres, però els usuaris no van donar consentiment per aquest ús. El client amenaça amb marxar. Què feu?

Dilema 3 - Denúncia anònima: Rebeu una denúncia anònima que un directiu està contractant familiars sense seguir els processos de selecció establerts. No hi ha proves concretes. Què feu?

Dilema 4 - Pressió de resultats: La direcció us demana "accelerar" els processos de compliance perquè "frenen" la consecució d'objectius comercials. Proposen simplificar controls. Què feu?

Lliurable: Informe de decisió + presentació oral (5 min per grup)

Exercici 8: Gamificació - Compliance Challenge

Objectiu: Consolidar coneixements de forma dinàmica i competitiva

Organització: 4-5 equips de 3-4 estudiants Durada: 45-60 minuts

Mecànica del joc:

Ronda 1 - Test de coneixements (15 min) Preguntes tipus Trivial sobre:

  • ISO 37301 i ISO 31000
  • Jerarquia legal
  • Conceptes de gestió de riscos
  • Documentació del SGC

Cada resposta correcta = 10 punts

Ronda 2 - Cas pràctic exprés (15 min) Se us presenta un cas breu d'incompliment. Heu de:

  • Identificar el problema
  • Normativa afectada
  • Risc associat
  • Solució proposada

Avaluació per rúbrica = 0-50 punts

Ronda 3 - Puja al tauler (15 min) Un representant de cada equip respon preguntes davant la classe. Poden consultar amb el seu equip (30 segons).

Cada resposta correcta = 20 punts

Guanya l'equip amb més punts!

Consells per a l'instructor:

  1. Rotació de rols: Assegureu-vos que en exercicis amb rols diferents (auditor/auditat), els estudiants experimentin tots els papers.
  2. Avaluació: Utilitzeu rúbriques clares que valorin:
    • Comprensió dels conceptes
    • Aplicació pràctica
    • Treball en equip
    • Presentació i comunicació
  3. Feedback: Dediqueu temps després de cada exercici per comentar les solucions, aclarir dubtes i destacar bones pràctiques.
  4. Connexió amb la realitat: Convideu professionals del sector (Compliance Officers, auditors) per compartir experiències reals.
  5. Eines de suport: Proporcioneu plantilles per facilitar la feina (taules de riscos, models de polítiques, etc.) 1

  1. https://docencia.xaviersastre.cat/Moduls/CECNC/UT02.html