Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Privada Asociados   |   Boletines Compliance
 
FORMULARIO DE CONTACTO
Deseo suscribirme al Newsletter de la WCA
 

12/09/2017

Certificación de #Compliance: piratas y otras especies

¿Cómo elegir entonces un partner de certificación adecuado?

Con el auge de los sistemas de gestión de Compliance, en los últimos años han entrado “en juego” también las entidades cuya actividad principal es la auditoría externa de dichos sistemas, esto es, las Entidades de Certificación.

Elegir una entidad de certificación es una decisión claramente estratégica. El rigor, imparcialidad, independencia, seriedad, profesionalidad –en definitiva, la competencia- de dicha entidad es un elemento clave a la hora de que la auditoría de certificación sea una herramienta de mejora más para el sistema de gestión Compliance o se convierta en un mero trámite para conseguir “el sello”.

Aunque en la actualidad la oferta de entidades que certifican Compliance (ISO 37001 y UNE 19601 especialmente) no es especialmente amplia, lo cierto es que en el mercado ya conviven Entidades serias con otras que parece han encontrado en el mundo Compliance un filón comercial más que explotar, aunque sea al abordaje. Así, se empiezan a ver por ahí certificados de ISO 37001 cuyos contenidos y formatos no cumplen con los estándares de la certificación de sistemas, entidades que ofrecen la “acreditación” y la “certificación” de los sistemas, asesoramientos previos a la certificación… comportamientos todos ellos totalmente indignos de una entidad con un mínimo de profesionalidad y de conocimiento de la labor de certificación y que hacen sonrojar a los que conocemos a fondo esta actividad.

¿Cómo elegir entonces un partner de certificación adecuado? El hecho de que la entidad cuente o no con una acreditación por parte de una tercera entidad es, sin duda, uno de los elementos a tener en cuenta.

La acreditación demuestra sin género de dudas la competencia de una entidad para realizar auditorías de certificación. Como muestra un botón: a continuación se enumeran algunos de los requisitos que exige ENAC (la entidad de acreditación española) en su esquema de acreditación de la norma UNE 19601 (Sistemas de gestión de Compliance Penal) y que el área de certificación de sistemas de la asociación WCA está aplicando en sus procedimientos de trabajo:

  • Para garantizar la independencia y la imparcialidad, existen restricciones para prestar otros servicios relacionados con el Compliance, como la elaboración de mapas de riesgos penales o programas y planes de Compliance, elaboración de manuales de prevención de delitos, códigos de buenas prácticas, prestar asesoramiento y asistencia legal en materia de Compliance…
  • También son incompatibles las actividades de evaluación y auditoría interna con la labor de certificación, también para asegurar la imparcialidad del proceso… en caso de haber prestado dicho servicio de evaluación y auditoría interna, debe transcurrir un plazo de al menos dos años antes de ofrecer el servicio de certificación.
  • El equipo auditor debe estar en posesión de unas competencias el Compliance de alto nivel. En particular, el equipo auditor debe incorporar al menos un jurista con titulación y experiencia en derecho penal, así como expertos técnicos en el sector y actividad auditados.
  • Salvo en casos muy excepcionales, la auditoría Etapa I (primera parte de la auditoría) debe incluir una etapa “in situ” en las instalaciones de la entidad auditada.
  • El contenido y nivel de detalle del informe y los registros de auditoría debe ser tal que permita demostrar a terceros (por ejemplo, en el caso de un pleito), las razones que llevaron a la entidad de certificación a declarar la conformidad con la norma.

Desconfíe pues de entidades de certificación Compliance que le ofrecen la consultoría y la certificación en el mismo “pack”, o que le aseguran que le pueden realizar la auditoría “virtual” únicamente a distancia o le “acreditan” después de hacerles la auditoría interna. Exija y revise con lupa la idoneidad del equipo auditor y asegúrese de que el informe de auditoría es completo, describe claramente los hallazgos identificados, clasifica y describe las desviaciones, e incluye un apartado de puntos fuertes y áreas de mejora.


Paloma López Lemos
Responsable Certificación de Sistemas
WORLD COMPLIANCE ASSOCIATION

 


 
Patrocinadores
Colaboradores
Entidades Asociadas