INFORMACIÓN DOCUMENTADA
GENERALIDADES
El sistema de gestión de compliance de la organización debería incluir:
a) la información documentada requerida por esta norma internacional;
b) la información documentada que la organización ha determinado como necesaria para la eficacia del
sistema de gestión de compliance.
EJEMPLO Ejemplos de información documentada incluyen:
– la política de compliance de la organización,
– los objetivos, fines, estructura y contenido del sistema de gestión de compliance,
– la asignación de roles y responsabilidades de compliance,
– el registro de las obligaciones de compliance relevantes,
– los registros de los riesgos de compliance y la priorización del tratamiento basada en el proceso de apreciación de riesgos de compliance,
– el registro de los incumplimientos y de los conatos de incumplimientos,
– los planes anuales de compliance,
– los registros personales, incluyendo, pero no limitado a, los registros de formación.
NOTA 1 La información documentada puede incluir materias relacionadas con requisitos de información regulatorios.
NOTA 2 El extensión de la información documentada para un sistema de gestión de compliance puede ser diferente de una organización a otra,
debido a:
– el tamaño de la organización y a su tipo de actividades, procesos, productos y servicios,
– la complejidad de los procesos y sus interacciones, y
– la competencia de las personas.
– la madurez del sistema de gestión de compliance.
CREACIÓN Y ACTUALIZACIÓN
Al crear y actualizar información documentada, la organización debería asegurarse de que lo siguiente sea apropiado:
– la identificación y descripción (por ejemplo, título, fecha, autor o número de referencia);
– el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por ejemplo,
papel, electrónico);
– la revisión y aprobación con respecto a la idoneidad y adecuación.
CONTROL DE LA INFORMACIÓN DOCUMENTADA
La información documentada requerida por el sistema de gestión de compliance y por esta norma
internacional se debería controlar para asegurarse de que:
a) esté disponible y adecuada para su uso, dónde y cuándo se necesite; b) esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado, o pérdida de integridad).
Para el control de la información documentada, la organización debería tratar las siguientes actividades,
según corresponda:
– distribución, acceso, recuperación y uso;
– almacenamiento y preservación, incluida la preservación de la legibilidad;
– control de cambios (por ejemplo, control de versión);
– retención y disposición final;
– el papel de terceras partes en la creación y el control de la información documentada.
La información documentada de origen externo, que la organización determina como necesaria para la
planificación y operación del sistema de gestión de compliance se debería identificar, según sea adecuado, y controlar.
La información documentada se puede preparar con el propósito de obtener asesoramiento legal y, por
tanto, puede estar sometida a privilegio legal.
NOTA El acceso implica una decisión concerniente al permiso solamente para consultar la información documentada, o el permiso y la autoridad para consultar y modificar la información documentada, etc.
Manual de responsabilidad penal personas juridicas
PLANIFICACIÓN Y CONTROL OPERACIONAL
La organización debería planificar, implementar y controlar los procesos necesarios para cumplir los
requisitos y para implementar las acciones determinadas mediante:
– la definición de los objetivos de los procesos;
– el establecimiento de criterios para los procesos;
– la implementación del control de los procesos de acuerdo con los criterios; – el mantenimiento de información documentada en la medida necesaria para confiar en que los procesos se han llevado a cabo según lo planificado.
La organización debería controlar los cambios planificados y revisar las consecuencias de los cambios no
previstos, tomando acciones para mitigar los efectos adversos, según sea necesario.
ESTABLECIMIENTO DE CONTROLES Y PROCEDIMIENTOS
Se deberían implantar controles para gestionar las obligaciones de compliance identificadas y los riesgos de compliance asociados y para alcanzar el comportamiento deseado.
Se necesitan controles eficaces para asegurar que se cumplen las obligaciones de compliance y que se
previenen, o se detectan y corrigen, los incumplimientos. Los tipos y niveles de controles deberían diseñarse con el rigor suficiente para facilitar el logro de las obligaciones de compliance específicas de las actividades de la organización y del entorno en el que opera. Cuando sea posible, dichos controles deberían estar embebidos en los procesos organizativos normales.
EJEMPLO Ejemplos de controles incluyen:
– políticas operativas, procedimientos, procesos e instrucciones de trabajo documentados, claros, prácticos y fáciles de seguir,
– sistemas e informes de excepciones,
– autorizaciones,
– segregación de roles y responsabilidades incompatibles,
– procesos automatizados,
– planes anuales de compliance,
– planes de desempeño de empleados,
– evaluaciones de compliance y auditorías,
– compromiso de la dirección demostrado y comportamiento ejemplarizante y otras medidas para promover un comportamiento cumplidor,
– comunicación activa, abierta y frecuente sobre el comportamiento esperado de los empleados (estándares y valores, códigos de conducta).
Estos controles se deberían mantener, ser evaluados y probados periódicamente para asegurarse de que
continúan siendo eficaces.
Se deberían establecer, documentar, implementar y mantener procedimientos para apoyar la política de
compliance y traducir las obligaciones de compliance a la práctica.
Al desarrollar estos procedimientos, se debería considerar lo siguiente:
a) integración de las obligaciones de compliance en procedimientos, incluyendo sistemas informáticos,
formularios, sistemas de información, contratos y otra documentación legal;
b) consistencia con otras funciones de revisión y control de la organización;
c) seguimiento y medición continuos;
d) evaluación e información (incluyendo supervisión de la dirección) para asegurar que los empleados
cumplen con los procedimientos;
e) disposiciones específicas para identificar, informar y escalar casos de incumplimientos y riesgos de
incumplimientos.
Vea nuestro Máster de Dirección de Empresas
1. Concepto de Información Documentada
La información documentada incluye dos tipos principales de documentos:
- Documentos: Estos definen cómo se deben realizar las actividades, como políticas, procedimientos, manuales y especificaciones.
- Registros: Son las evidencias de las actividades realizadas o los resultados obtenidos, como informes, registros de inspección, resultados de auditorías y registros de capacitación.
2. Importancia de la Información Documentada
- Establecer Estandares: Proporciona un marco para que los empleados sigan procedimientos estandarizados, lo que asegura consistencia en las operaciones.
- Demostrar Conformidad: Sirve como evidencia de que la organización cumple con los requisitos normativos, legales, y contractuales.
- Mejora Continua: Facilita el análisis de procesos y el seguimiento de mejoras a lo largo del tiempo.
- Responsabilidad y Transparencia: Clarifica quién es responsable de qué tarea, y permite el seguimiento de decisiones y acciones.
3. Requisitos de la Información Documentada
- Identificación y Descripción: Debe estar claramente identificada y descrita, incluyendo un título, fecha de creación, autor o responsable, y un número de versión.
- Formato y Medio: Puede estar en cualquier formato (electrónico, papel) y ser almacenada en cualquier medio (digital, físico), siempre que sea accesible y manejable.
- Revisión y Aprobación: Debe ser revisada y aprobada para adecuación y pertinencia antes de su emisión y uso.
- Acceso y Protección: Debe ser accesible para quienes la necesiten, pero también debe protegerse de pérdida, daño, alteración no autorizada o divulgación indebida.
- Actualización y Control: Debe actualizarse regularmente para reflejar los cambios en los procesos, y las versiones obsoletas deben controlarse para evitar su uso accidental.
4. Ciclo de Vida de la Información Documentada
- Creación: Desarrollo de nuevos documentos o registros basados en los requisitos de la organización.
- Revisión y Aprobación: Validación del contenido para asegurar que cumple con los requisitos y es adecuado para su propósito.
- Distribución y Control: Asegurar que la información documentada esté disponible en el lugar y momento adecuado.
- Mantenimiento y Actualización: Revisión periódica para mantener la información actualizada y relevante.
- Almacenamiento y Protección: Almacenamiento seguro y accesible para los usuarios autorizados.
- Retención y Eliminación: Cumplir con los requisitos legales y de la organización para la retención y, posteriormente, eliminar o archivar la información documentada cuando ya no sea necesaria.
5. Beneficios de una Gestión Eficaz de la Información Documentada
- Cumplimiento Normativo: Asegura que la organización cumpla con todas las regulaciones aplicables.
- Eficiencia Operativa: Reduce la posibilidad de errores, mejora la eficiencia y asegura la consistencia en la ejecución de procesos.
- Mejora en la Toma de Decisiones: Proporciona la información necesaria para tomar decisiones informadas y basadas en datos.
- Facilita la Auditoría y Evaluación: La información documentada organizada y accesible facilita las auditorías internas y externas.
- Protección de Conocimiento: Preserva el conocimiento institucional y facilita la capacitación y el desarrollo de nuevos empleados.
6. Normativas Relacionadas
- ISO 9001: Requiere que la organización mantenga información documentada para apoyar la operación de sus procesos y retener la evidencia de que los procesos se han llevado a cabo según lo planificado.
- ISO 14001: Incluye requisitos para la creación y el control de la información documentada necesaria para el Sistema de Gestión Ambiental.
- ISO 45001: Establece la necesidad de mantener información documentada sobre la gestión de la seguridad y salud en el trabajo.