Salta el contingut

Solucions als Exercicis de Sistemes de Gestió de Compliance

Exercici 1: Definició i Beneficis del Sistema de Gestió de Compliance

  • Defineix amb les teves paraules què és un sistema de gestió de compliance.
  • Explica tres beneficis clau que aporta un sistema de gestió de compliance a una empresa.
  • Quin és l’objectiu principal d’aquest sistema?
Solució

1.1 Definició d'un sistema de gestió de compliance

Un sistema de gestió de compliance és un procés integrat en l'organització que permet identificar i garantir el compliment de tota la legislació, normativa, reglaments, codis de bona conducta i codis d'ètica i transparència que l'afecten. El seu objectiu principal és evitar els riscos que puguin sorgir per incompliment de aquests requisits, minimitzant així les conseqüències legals, administratives i econòmiques que podrien derivar-se.

En altres paraules, és un conjunt de polítiques, procediments i controls que l'organització estableix per assegurar-se que totes les seves activitats es duen a terme dins dels marges de la llei i els compromisos ètics adquirits.

1.2 Tres beneficis clau

Benefici Explicació
Evitar sancions legals i econòmiques Minimitzar condemnes penals, sancions judicials, administratives i evitar multes. A més, demostra la diligència de la companyia, cosa que pot reduir o evitar responsabilitat legal.
Millora de reputació i competitivitat Augmenta la confiança de clients, inversors i stakeholders. Els clients, especialment els multinacionals, valoren treballen amb proveïdors que tinguin compliance certificat. Es converteix en un avantatge competitiu.
Detecció i prevenció de frau intern Els controls del sistema augmenten la transparència interna, redueixen o eliminen el frau intern, i faciliten la detecció precoç de problemes. Millora la cultura ètica dins de l'organització.

1.3 Objectiu principal

L'objectiu principal d'un sistema de gestió de compliance és minimitzar les conseqüències derivades de dur a terme activitats fora dels marges de la llei. Això inclou evitar que la direcció i els empleats arribin a tenir responsabilitat penal pel seu incompliment, però també va més enllà: busca crear una cultura de compliment dins de l'organització que faci que totes les persones que la conformen actuïn de manera ètica i dins dels límits legals de forma natural.

  • Ordena segons la jerarquia les següents categories de documents jurídics: Constitució, lleis orgàniques, reglaments de govern, lleis ordinàries.
  • Quina diferència principal hi ha entre lleis orgàniques i ordinàries?
  • Quins òrgans formen part de la jurisdicció en l’àmbit penal? Dona almenys tres exemples.
Solució

La jerarquia legal correcta, de major a menor prioritat, és:

  1. Constitució Espanyola de 1978
  2. Tractats Internacionals (mateix nivell que Constitució)
  3. Lleis orgàniques
  4. Lleis ordinàries
  5. Decrets legislatius i Decrets Llei (normes reglamentàries)
  6. Reglaments de govern (Reials Decrets, Ordres Ministerials, etc.)

Nota: Les lleis orgàniques i ordinàries es troben al mateix nivell jeràrquic, tot i que les orgàniques tracten matèries reservades específicament per la Constitució.

2.2 Diferència principal entre lleis orgàniques i ordinàries

Aspecte Lleis Orgàniques Lleis Ordinàries
Matèries regulades Desenvolupen drets fonamentals i llibertats públiques reservades per la Constitució (art. 81). Ex: estatuts autonòmics, LOREG, LOPD. Regulen matèries no reservades a llei orgànica. Ex: dret civil, mercantil, trànsit, comerç.
Aprovació Necessiten majoria absoluta del Congrés en votació final. Necessiten majoria simple de cadascuna de les cambres (Congrés i Senat).
Rang Mateix nivell, tot i que per la seva naturalesa regulen matèries més fonamentals. Mateix nivell, aplicables a matèries ordinàries de l'ordenament.

2.3 Òrgans de la jurisdicció en l'àmbit penal

Almenys tres exemples:

  1. Tribunal Suprem: Màxim òrgan judicial, pot conèixer casos de cassació en matèria penal.
  2. Audiència Nacional: Cort Penal Superior que tracta casos especials com terrorisme, falsificació de moneda i crim organitzat.
  3. Audiències Provincials: Secció Criminal que s'encarrega de la investigació penal, casos penals i seguiment de l'empresonament.
  4. Jutjats Penals: Tracten casos en què l'empresonament és menor a 5 anys i altres càstigs inferiors a 10 anys.
  5. Jutjats de Menors: Delictes comesos per menors entre 14 i 18 anys (i en certs casos majors entre 18 i 21).

Exercici 3: ISO 37301 i ISO 31000

  • Quina diferència principal hi ha entre l’estàndard ISO 37301 i la ISO 19600?
  • Enumera com a mínim cinc dominis que forma part de la norma ISO 37301.
  • Explica breument què és la ISO 31000 i el seu objectiu en la gestió de riscos.
Solució

3.1 Diferència principal entre ISO 37301 i ISO 19600

Aspecte ISO 19600 (2014) ISO 37301 (2021)
Natura Guia sobre compliance Estàndard de gestió de compliance
Certificació No certificable Certificable per organismes acreditats
Metodologia Basada en cicle de Deming (PDCA) Basada també en cicle PDCA però amb requisits més específics
Aplicabilitat Recomanacions genèriques Requisits concrets i auditable per a tota mena d'organitzacions (PyME, grans empreses, públiques, sense ànim lucre)
Abast Menys específica Més adaptable a diferents tipus d'organitzacions i riscos

Conclusió: ISO 37301 va reemplaçar ISO 19600 el 2021 perquè era necessària una norma certificable i més concreta que permetés a les organitzacions demostrar de forma verificable el seu compromís amb el compliance.

3.2 Cinc dominis de la norma ISO 37301

La norma ISO 37301:2021 compta amb 10 dominis en total. Aquí es presenten almenys cinc:

  1. Context de l'organització (Domini 4): Estableix guies per comprendre el funcionament, la funció i negoci de l'organització. Inclou context intern (situació econòmica, estructura, recursos) i extern (context regulatori, situació geopolítica, social, cultural, ambiental). Es defineixen les parts interessades i les seves necessitats.
  2. Lideratge (Domini 5): Defineix els aspectes organitzacionals i de gestió que ha de tenir el SGC. Estableix la necessitat d'un òrgan de govern, alta direcció, cultura de compliment, política de compliance, i definició de rols i responsabilitats.
  3. Planificació (Domini 6): Estableix accions i recursos per cobreixin els riscos i oportunitats identificats. Inclou la definició d'objectius de compliment que siguin mesurables i alineats amb la política.
  4. Suport (Domini 7): Defineix els recursos necessaris per a la implementació del SGC (finançament, personal, formació), així com la comunicació de la política i la documentació requerida.
  5. Operació (Domini 8): Defineix com es mantindrà el SGC, quins processos es desplegaran per assolir els objectius, quins controls s'han de definir, i estableix mecanismes de denúncia i investigació d'incidències.

Altres dominis: Avaluació d'acompliment (Domini 9), Millora (Domini 10).

3.3 ISO 31000 i objectiu en gestió de riscos

Definició: La ISO 31000 és una guia internacional de l'Organització Internacional d'Estandardització publicada originalment el 2009 (actualitzada el 2018) que defineix les directrius per a la gestió de riscos en les organitzacions.

Objectiu: Que les organitzacions de tots tipus i mides puguin gestionar qualsevol tipus de risc de forma efectiva, no només riscos de compliance, sinó també riscos tecnològics, de seguretat física, salut, etc.

Objectius principals:

  • Crear i protegir valor, contribuint als objectius de l'organització
  • Ajudar en la presa de decisions avaluant alternatives
  • Gestionar la incertesa i manca d'informació
  • Fomentar millora contínua i reducció de riscos

Exercici 4: Anàlisi i Gestió de Riscos

  • Defineix aquests termes: Actiu, Vulnerabilitat, Amenaça, Impacte.
  • Si un determinat risc té una probabilitat de 0,3 i un impacte de 7, quin és el seu nivell de risc segons el producte impacte x probabilitat?
  • Quines opcions té una organització per al tractament de riscos segons la teoria exposada?
Solució

4.1 Definicions de conceptes clau

Concepte Definició
Actiu Qualsevol recurs de l'empresa necessari per desenvolupar les activitats diàries. La no disponibilitat o deteriorament d'un actiu suposa un greuge o cost per a l'organització. Ex: dades, personal, equipament, infraestructura.
Vulnerabilitat Una debilitat que presenta un actiu o un procés que pot ser explotat. Ex: sistemes informàtics no actualitzats, falta de formació dels empleats, processos sense controls.
Amenaça Una circumstància desfavorable que, si es produeix, tindrà conseqüències negatives per a l'organització. Ex: atac cibernètic, desastre natural, fraude intern, changes en normativa.
Impacte La materialització d'una amenaça sobre un actiu aprofitant una vulnerabilitat. É el dany real que es produiria. Pot ser: dany personal, pèrdua financera, interrupció de servei, pèrdua d'imatge, sancions.

4.2 Càlcul del nivell de risc

Dades:

  • Probabilitat = 0,3
  • Impacte = 7

Fórmula: Nivell de Risc = Probabilitat × Impacte

Càlcul:

Nivell de Risc = 0,3 × 7 = 2,1

Nivell de Risc = 2,1 (o interpretant: 2,1 en una escala que podria anar de 0 a 25 si la probabilitat és de 0-5)

Interpretació: Es tracta d'un risc relativament baix, ja que malgrat que l'impacte és alt (7), la probabilitat que ocorri és baixa (0,3 o 30%). Segons aquest càlcul, caldria considerar aquest risc per mitigació però no seria prioritari davant de riscos amb nivell més alt.

4.3 Opcions de tractament de riscos

Segons la teoria exposada, una organització té quatre opcions principals per al tractament de riscos:

  1. Evitar o eliminar el risc: Substituir un actiu o procés, o eliminar l'amenaça o activitat que la produeix. Ex: si un risc és molt alt associat a una activitat determinada, la companyia pot decidir no fer aquella activitat.

  2. Reduir-lo o mitigar-lo: Dur a terme accions sobre un actiu o procés per reduir la probabilitat o l'impacte del risc. Ex: implementar software de seguretat, formar els empleats, establir controls.

  3. Transferir-lo, compartir-lo o assignar-lo a tercers: Contractar una assegurança o executar un procés compartit amb una altra organització. Ex: assegurança de responsabilitat civil, externalitzar funcions crítiques.

  4. Acceptar-ho: No realitzar cap activitat mitigadora. Aquesta opció es pren generalment quan: (a) el nivell de risc és molt baix, o (b) el cost de mitigació és molt alt en relació al risc.

Factor decisori: La tria entre opcions depèn de diversos factors: complexitat, cost, i l'apetit de risc (nivell de risc que l'empresa està disposada a assumir).

Exercici 5: Documentació i Suport del SGC

  • Què ha d’incloure el document de context de l’organització segons la norma ISO 37301?
  • Quin és el paper de la direcció en un sistema de gestió de compliance? Dona dues responsabilitats concretes.
  • Quins tipus de processos d'operació es consideren claus dins del SGC?
Solució

5.1 Contingut del document de context de l'organització

El document de context de l'organització (Domini 4 de ISO 37301) ha d'incloure:

A. Context intern:

  • Situació econòmica i financera de l'empresa
  • Estructura organitzativa i de governança
  • Polítiques i procediments existents
  • Tecnologies disponibles
  • Recursos humans, materials i tecnològics
  • Cultura i valors de l'organització
  • Capacitat operativa

B. Context extern:

  • Context regulatori i legal aplicable
  • Situació geopolítica que pugui afectar l'empresa
  • Situació econòmica del país/regió
  • Context social i cultural
  • Aspectes ambientals
  • Relacions comercials amb tercers i la seva naturalesa
  • Estructura del mercat i competència

C. Parts interessades (stakeholders):

  • Identificació de tots els actors amb repercussió en l'organització (clients, empleats, accionistes, proveïdors, administracions públiques, comunitat local, etc.)

D. Requisits i necessitats de les parts interessades:

  • Quins requisits estableix cada part interessada (Ex: clients poden exigir ISO 27001, empleats exigeixen seguretat laboral, etc.)

E. Abast del SGC:

  • Especificar quines empreses, línies de negoci o funcions estan afectades pel SGC
  • Definir els límits de aplicació del sistema

5.2 Paper de la direcció en un sistema de gestió de compliance

Dues responsabilitats concretes:

  1. Establir la política de compliance i demostrar compromís: La direcció ha de redactar i aprovar una política de compliance clara que estableixi els compromisos de l'organització respecte al compliment legal i normatiu. Aquesta política ha de ser adequada als objectius del negoci i ha de funcionar com a marc de referència per a tot el SGC. A més, la direcció ha de demostrar el seu compromís fomentant activament la comunicació i la cultura de compliance entre tots els integrants de l'organització.

  2. Revisar periòdicament el sistema de gestió: La direcció ha de revisar el SGC a intervals planificats per assegurar-se que continua ajust a les necessitats de l'organització. Aquesta revisió ha de tenir en compte: canvis en el context intern i extern, canvis en requisits de les parts interessades, informació sobre compliment i riscos identificats, i oportunitats de millora. La direcció ha de prendre decisions sobre l'adequació de la política, recursos, eficiència dels controls, i implementar accions correctives si és necessari.

5.3 Processos d'operació claus dins del SGC

Els processos d'operació claus (Domini 8 de ISO 37301) són:

  1. Planificació i control de processos: L'organització ha de planificar i controlar els processos necessaris per complir amb els requisits i accions de la planificació. Ha d'establir criteris de priorització per a la implementació (factors econòmics, de recursos humans, temps, nivell de reducció de risc, etc.).

  2. Implantació de controls: Establir controls per gestionar les obligacions de compliment i els seus riscos associats. Aquests controls han de ser periòdicament revisats i provats.

  3. Canal de comunicació (whistle-blowing): Establir un canal de comunicació perquè qualsevol persona relacionada amb l'organització (empleats, clients, proveïdors) pugui comunicar sospites de violacions de les polítiques de compliance. Aquest canal ha de garantir confidencialitat i protecció contra represàlies.

  4. Investigació d'incidències: Implementar processos per investigar possibles incidències, casos reals o sospites de violacions de compliment. Aquestes investigacions han de garantir la presa de decisions imparcials i conservar la documentació del procés.

  5. Gestió de la no-conformitat: Processos per identificar, documentar i gestionar situacions de no-compliment, establint accions correctives.

Exercici 6: Avaluació i Millora del Sistema

  • Quines activitats hem de realitzar per avaluar l’acompliment del sistema de gestió de compliance?
  • Per què és important establir un programa d’auditories internes i revissions per part de la direcció?
  • Quines accions contínues formen part d’un procés de millora del sistema segons la norma?
Solució

6.1 Activitats per avaluar l'acompliment del SGC

Per avaluar l'acompliment del sistema de gestió de compliance (Domini 9), l'organització ha de dur a terme les següents activitats:

  1. Monitorització contínua: L'empresa ha de definir què necessita ser mesurat, els mètodes de seguiment i mesurament, i quan es realitzen aquests mesuraments. Ha de deixar evidència documental dels resultats del monitoratge.

  2. Desenvolupament d'indicadors (KPIs): Crear indicadors que permetin avaluar:

    • L'assoliment dels objectius de compliance
    • L'efectivitat dels controls implementats
    • Els nivells de compliment de la normativa
    • La cultura de compliance dins de l'organització

  3. Generació d'informes: Establir processos de generació d'informes sobre:

    • L'estat de compliment de l'organització
    • Estatus de tots els elements relacionats amb el SGC
    • Informació a presentar a l'alta direcció

  4. Auditoria interna: Executar un programa d'auditoria interna a intervals planificats que permeti:

    • Avaluar si el SGC s'ajusta als requisits de l'empresa
    • Verificar si el sistema s'implanta i es manté de forma efectiva
    • Per a cada auditoria, definir objectius, criteri, abast, seleccionar auditors i informar els resultats

  5. Revisió per la direcció: La direcció ha de revisar periòdicament el sistema considerant:

    • Estat de revisions anteriors
    • Canvis en el context intern i extern
    • Informació de compliment i riscos identificats
    • Oportunitats de millora contínua

  6. Retroalimentació: Identificar fonts de retroalimentació que permetin:

    • Obtenir informació sobre causes d'incompliments
    • Garantir mesures adequades
    • Actualitzar la taula de riscos si cal

6.2 Importància de les auditories internes i revisió per la direcció

Les auditories internes i la revisió per la direcció són importants per dues raons fonamentals:

A. Garantir l'eficàcia del sistema: - Les auditories internes permeten verificar objectivament si els processos, controls i polítiques del SGC es estan implementant correctament i si són efectius per assolir els objectius de compliance. - La revisió per la direcció garanteix que el SGC continua ajustat a les necessitats de l'organització i s'adapta als canvis en el context (legal, regulatori, mercat, etc.).

B. Identificar millores: - Les auditories proporcionen evidència documental de conformitats i no-conformitats que serveixen de base per a accions correctives. - La revisió per la direcció permet una presa de decisions estratègica sobre els recursos, polítiques i prioritats del SGC. - Totes dues activitats alimenten el procés de millora contínua del sistema.

C. Demostrar el compromís: - Documentar aquestes activitats és una forma de demostrar la diligència de la companyia en el seu compromís amb el compliance, cosa que pot ser crucial en cas de litigis o inspeccions externes.

6.3 Accions contínues en el procés de millora

Segons la norma ISO 37301, el procés de millora del sistema (Domini 10) inclou les següents accions contínues:

  1. Anàlisi de mètriques i processos: Revisar regularment les mètriques sobre el rendiment dels processos de compliance per identificar àrees de millora.

  2. Gestió de no-conformitats: Quan es detectin situacions de no-compliment (a través d'auditories, investigacions o retroalimentació), l'organització ha de:

    • Documentar l'origen i tipologia de l'incompliment
    • Implementar accions correctives específiques
    • Avaluar els resultats de les accions implementades

  3. Accions derivades de resultats d'auditoria: Les no-conformitats i oportunitats de millora identificades durant les auditories internes i externes han de generar plans de millora amb responsables i terminis.

  4. Accions derivades de la revisió per la direcció: Les conclusions i recomanacions de la revisió per la direcció han de traduir-se en accions de millora concreta.

  5. Actualització de la taula de riscos: Si nous riscos són identificats o si les causats d'incompliment suggereixen canvis en l'avaluació de riscos existents, la taula de riscos ha de ser actualitzada.

  6. Millora de la comunicació i cultura: Implementar accions comunicatives i de formació per reforçar la cultura de compliance basades en les lliçons apreses.

  7. Optimització de controls: Simplificar, eliminar o reforzar els controls existents en funció de la seva efectivitat mesurada.

Conclusió: La millora contínua és cíclica i permanent, alimentada pels resultats del monitoratge, auditories i revisió per la direcció, creant un procés iteratiu d'evolució del SGC.

Nota final per a l'estudiant: Aquestes solucions es basen íntegrament en el contingut de la UT02 del mòdul CECNC. Es recomana que compareu aquestes solucions amb el material original per assegurar-vos que compreneu els conceptes i que podeu aplicar-los a casos pràctics reals en els vostres futurs treballs com a professionals de compliance.