Publicado el Deja un comentario

FAQ Modelo de Prevencion de Delitos

¿Qué es el Compliance Penal?

El Compliance Penal, también conocido como Modelo de Prevención de Delitos, es un modelo de organización y gestión a implementar en las empresas para prevenir los riesgos penales que pudieran llegar a materializarse en la misma.

 

¿Cuándo surge el Compliance Penal en España?

En el año 2010 se creó en España la responsabilidad penal de las personas jurídicas (empresas) por la reforma del Código Penal operada por LO 5/2012 de 22 de junio. Con posterioridad, en el año 2015, el Código Penal fue reformado por LO1/2015, de 30 de marzo. Esta última reforma introdujo el Compliance Penal en España, al establecer que las empresas que quedarán exentas de responsabilidad penal si antes de la comisión del delito implementan modelos de organización y gestión que incluyan medida de vigilancia y control idóneas para prevenir delitos.

Desde el año 2015 las empresas españolas están interesándose en implementar el Compliance penal en sus estructuras con el objetivo de organizarse para prevenir la comisión de delitos que pudieran generar la responsabilidad penal de la entidad.

¿En qué consiste la implementación del Compliance Penal en una empresa?

La implementación del Compliance Penal en una empresa consiste en la creación de una estructura organizativa interna para la prevención de riesgos penales.

Las fases, a groso modo, para la implementación de un Compliance Penal son las siguientes:

  • Conocimiento de la entidad, estudio de su estructura y planificación de las acciones a ejecutar.
  • Adopción de los acuerdos pertinentes por parte del órgano de administración para dar inicio a la implementación del Compliance Penal en la entidad.
  • Entrevistas al personal de la entidad.
  • Elaboración de un mapa de riesgos penales.
  • Plan de actuaciones.
  • Desarrollo y ejecución del plan de actuaciones (controles transversales y específicos).
  • Creación de un órgano de control interno o de un Comité de Compliance responsable del Compliance Penal implementado en la entidad.
  • Creación e implementación de un canal de denuncias.
  • Formación a los empleados de la entidad.
Publicado el Deja un comentario

FAQ ISO 45001

¿Cuáles son las principales características del borrador de ISO 45001?

La Norma 45001 tiene por objetivo la mejora continua de los sistemas de salud y seguridad en el trabajo y se basa en el liderazgo, el compromiso y la participación de todos los niveles y funciones de la organización. En este documento se perfila la definición de riesgo y el concepto de lugar de trabajo
y trabajador.
La ISO 45001 incorpora más énfasis en el pensamiento basado en el riesgo (gestión del riesgo), aumento del compromiso de la alta dirección y el análisis del contexto; se amplía del sector industrial a los servicios y se orienta a la actividad empresarial en su conjunto. Además, la futura norma tendrá
la nueva estructura de los sistemas de gestión como la que incorporan las versiones 2015 de ISO 9001 e ISO 14001.

La norma incluye requisitos específicos para la gestión de la actividad preventiva, como uno concreto para la participación y consulta de los trabajadores. Además se amplía el requisito de comunicación a la información que debe facilitar la organización, se despliega el requisito de mejora continua orientándolo a objetivos y procesos y, por último, extiende el requisito de evaluación de cumplimiento a los requisitos legales y otros suscritos por la organización.
Por otro lado, se amplían los capítulos de “planificación y operación”. En la planificación se desarrolla el requisito de acciones para abordar riesgos y oportunidades, incluyendo la identificación de peligros, la evaluación de riesgos, la identificación de “oportunidades” y la determinación de los requisitos aplicables; y en “operación”, se incluyen la jerarquía de los controles, gestión del cambio, externalización, compras, subcontratistas y preparación y respuesta ante emergencias.

El texto incluye algunos conceptos consensuados como trabajador y representante de los trabajadores, salud, daño y deterioro de la salud o accidente e incidente. Asimismo, se han incluido  referencias a las funciones de los representantes de los trabajadores, la cultura preventiva de la organización
y la consulta y participación que aplica a todos los niveles de trabajadores.FAQ ISO 45001

Publicado el Deja un comentario

FAQ SA 8000

La SA8000 es una certificación voluntaria la cual fue creada por una organización estadounidense llamada Responsabilidad Social Internacional (Social Accountability International – SAI), con el propósito de promover mejores condiciones laborales. La certificación SA8000 se basa en los acuerdos internacionales sobre las condiciones laborales, los cuales incluyen temas tales como justicia social, los derechos de los trabajadores, etc. Algunas de las más grandes empresas agrícolas exportadoras de banano, piña, tabaco, vino, frutas enlatadas y café procesado, cuentan con la certificación SA8000.

Kit SA 8000 en español

¿Cuáles son los principales requisitos?
La certificación SA8000, básicamente establece condiciones mínimas para alcanzar un ambiente de trabajo seguro y saludable; la libertad de asociación y negociación colectiva; y una estrategia empresarial para tratar los aspectos sociales relacionados con el trabajo. Además, contiene reglas respecto a la duración de la jornada laboral, los salarios, la lucha a la discriminación y al trabajo infantil o forzado.

¿Cómo obtener la certificación?
Las empresas pueden solicitar la certificación SA8000 a través de una de las agencias de certificación aprobadas por la SAI. La agencia de certificación hace la inspección inicial y una vez el sitio de trabajo es certificado, la empresa es supervisada periódicamente para asegurar que continúa cumpliendo con los requisitos del programa. La empresa productora por lo general paga los costos de la certificación, los cuales incluyen la inspección o auditoria, así como cualquier medida correctiva o preventiva que deba aplicarse para recibir la certificación.

¿Cuáles son las principales ventajas y limitaciones?

La certificación SA8000 es uno de los programas con las normas más detalladas sobre condiciones laborales que incluye muchos aspectos de los derechos internacionales de los trabajadores. Esta certificación puede beneficiar principalmente a las grandes empresas agroindustriales que pueden utilizar en sus relaciones públicas. El cumplimento de los requisitos pueden contribuir a mejorar la productividad, la calidad y ayudar a reclutar y conservar a los trabajadores. La certificación SA8000 no se utiliza en las etiquetas de los productos. Los productos de las empresas certificadas con SA8000 no reciben un premio o sobreprecio especial ni tienen un mercado específico. Gradualmente, la certificación SA8000 está empezando a ser utilizada por el sector agrícola, aunque es más común en otros sectores debido a que es difícil de aplicar en la producción estacional.

Publicado el Deja un comentario

FAQ ISO 27001

¿Qué es ISO 27001 y para qué sirve?
ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. … La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.

¿Qué es seguridad de la información ISO 27001?
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
¿Cuál es el objetivo de la seguridad de la información?
El objetivo de la seguridad informática es mantener la Integridad, Disponibilidad, Privacidad, Control y Autenticidad de la información manejada por computadora. Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.

La ISO/IEC 27001 se basa en el conocido «Ciclo de Deming» Plan-Do-Check-Act (PDCA o PHVA) que significa «Planificar-Hacer-Verificar-Actuar» siendo este un enfoque de mejora continua:

Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados .
Do (hacer): es una fase que envuelve la implantación y operación de los controles.
Check (verificar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.
SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares publicados por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). JJO también define normas estandarizadas de distintos SGSI.

Publicado el Deja un comentario

¿Cómo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:

1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas

Publicado el Deja un comentario

¿Qué es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas
de Information Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imágenes,
oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.

La seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en
su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen
la base sobre la que se cimienta todo el edificio de la seguridad de la información:
• Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento
de la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se
debe hacer uso de un proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.

www.iso27000.es