Si analizamos las dos normas posiblemente esta sea una de sus diferencias significativa, lo cual hace pensar que no es una simple diferencia. Por otra parte, la norma ISO 37001, sigue la misma estructura que la ISO 19600.
En mi opinión, la evaluación de riesgos se encuadra claramente como algo relacionado con el contexto de la organización. Los riesgos se generan dentro de un contexto de trabajo, social, económico, etc. y con las partes interesadas de la organización, por ello parece lógico considerar la evaluación de riesgos como una forma de valorar como influye en los riesgos de la organización su contexto.
Por otra parte, en el apartado 6.1. de ambas normas titulado “Acciones para abordar el riesgo y sus oportunidades” en la norma UNE 19601 y “Acciones para tratar el riesgo y sus oportunidades” en la ISO 19600, además de la diferencia entre abordar y tratar del título (abordar acercarse a algo para tratar), nos encontramos redacciones muy similares, aunque cómo es lógico al encontrarse la evaluación de riesgos en el apartado 4 y no en el 6, en la norma ISO 19600 se hace referencia al apartado 4.6 “evaluación de riesgos”.
Sin embargo, si podemos encontrar una diferencia, en mi opinión significativa.
La norma ISO 19600 indica, en su último apartado, que se debería conservar información documentada sobre los riesgos y las acciones planificadas para gestionarlo, pero no habla claramente de las evidencias.
Por otra parte, UNE 19601 establece que, “la organización debe determinar la manera de generar evidencias de cumplimiento en el momento de realizar los controles y revisiones y su gestión propia o por terceros de forma inalterable e integra para su posible presentación en futuros procedimientos judiciales que afecten a la organización”.
Está claro que UNE 10601 hace más hincapié en las evidencias, mientras que en ISO 19600 simplemente subyace. Lo cual debemos relacionarlo con una redacción de UNE 10601, en mi opinión peligroso ya que justicia las evidencias como un elemento de protección para cuando la organización se encuentre “en futuros procedimientos judiciales que afecten a la organización”. Es decir, en este párrafo se introduce subliminarmente un concepto de sistema cuyo objetivo es defenderse ante actuaciones judiciales, cuando el sistema debe tener como objetivo no tener procedimientos judiciales en el futuro.
Es importante definir el objetivo para lo que queremos el sistema, si lo queremos simplemente para defendernos delante de jueces y fiscales diseñaremos sistemas burocráticos, en los que la redacción jurídica de los documentos será más importante de la información que se incluye en el documento, sistemas que no crearan cultura de cumplimiento. Solo que pretendamos es no incumplir, es decir eliminar o reducir el riesgo, debemos plantearnos sistemas cuya documentación, registros y evidencias, sean para la utilidad de sus gestores la mejora del sistema, crearemos cultura de cumplimiento y, en consecuencia, nunca estaremos delante de un juez.
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación