N0071663 PDF Es

Norma Española
UNE 19604
Julio 2023
Sistemas de gestión de compliance sociolaboral

Requisitos con orientación para su uso
Esta norma ha sido elaborada por el comité técnico

CTN-UNE 165 Ética, gobernanza y responsabilidad social de
las organizaciones, cuya secretaría desempeña UNE.
Asociación Española Calle de Génova, 6 915 294 900

de Normalización 28004 Madrid. España info@une.org – www.une.org
Este documento ha sido adquirido por: UNIVERSIDAD CARLOS III DE MADRID a través de la suscripción AENORmás. Para
uso en red interna se requiere de autorización previa de AENOR.
30/11/2023
UNE 19604
Sistemas de gestión de compliance sociolaboral

Requisitos con orientación para su uso
Management system for socio-labor compliance. Requirements with guidance for use.
Systèmes de management de la conformité socio-porfessionnel. Exigences et recommandations de mise en

oeuvre.
Las observaciones a este documento han de dirigirse a:
Asociación Española de Normalización

Génova, 6
28004 MADRID-España
Tel.: 915 294 900
info@une.org
www.une.org
© UNE 2023
Prohibida la reproducción sin el consentimiento de UNE.
Todos los derechos de propiedad intelectual de la presente norma son titularidad de UNE.
30/11/2023
-3- UNE 19604:2023
Índice
0 Introducción ........................................................................................................................5
1 Objeto y campo de aplicación........................................................................................7
2 Normas para consulta ......................................................................................................8
3 Términos y definiciones..................................................................................................8
4 Contexto de la organización ....................................................................................... 14

4.1 Comprensión de la organización y de su contexto ............................................. 14
4.2 Comprensión de las necesidades y expectativas de las partes
interesadas ....................................................................................................................... 15
4.3 Determinación del alcance del sistema de gestión del compliance
sociolaboral ...................................................................................................................... 15
4.4 Sistema de gestión del compliance sociolaboral ................................................. 16
4.5 Obligaciones de compliance sociolaboral .............................................................. 16
4.6 Evaluación de los riesgos de compliance sociolaboral ...................................... 16
5 Liderazgo ........................................................................................................................... 17
5.1 Liderazgo y compromiso.............................................................................................. 17
5.2 Política de compliance sociolaboral......................................................................... 19
5.3 Roles, responsabilidades y autoridades ................................................................ 20
6 Planificación ..................................................................................................................... 25
6.1 Acciones para abordar los riesgos y oportunidades ......................................... 25
6.2 Objetivos de compliance sociolaboral y planificación para lograrlos ......... 26
6.3 Planificación de los cambios ...................................................................................... 27
7 Apoyo .................................................................................................................................. 27
7.1 Recursos............................................................................................................................. 27
7.2 Competencia ..................................................................................................................... 27
7.3 Toma de conciencia ....................................................................................................... 28
7.4 Comunicación .................................................................................................................. 29
7.5 Información documentada.......................................................................................... 30
8 Operación .......................................................................................................................... 31
8.1 Planificación y control operacional ......................................................................... 31
8.2 Establecimiento de controles y procedimientos ................................................. 32
8.3 Diligencia debida ............................................................................................................ 33
8.4 Implementación de controles en entidades bajo control de la
organización y en otras entidades no controladas pero vinculadas a
ella........................................................................................................................................ 34
8.5 Condiciones contractuales .......................................................................................... 35
8.6 Planteamiento de inquietudes................................................................................... 35
8.7 Procesos de investigación ........................................................................................... 35
9 Evaluación del desempeño.......................................................................................... 36

9.1 Seguimiento, medición, análisis y evaluación ...................................................... 36
9.2 Auditoría interna ............................................................................................................ 38
9.3 Revisión.............................................................................................................................. 39
30/11/2023
UNE 19604:2023 -4-
10 Mejora ................................................................................................................................. 41
10.1 Mejora continua .............................................................................................................. 41
10.2 No conformidades o no cumplimientos y acciones correctivas..................... 41
11 Bibliografía ....................................................................................................................... 42
Anexo A (Informativo) Controles .......................................................................................... 43
30/11/2023
-5- UNE 19604:2023
Se llama la atención sobre la posibilidad de que algunos elementos de este documento puedan
ser objeto de derechos de patente. UNE no es responsable de la identificación de dichos derechos
de patente.
0 Introducción
Uno de los objetivos de este documento es ayudar a las organizaciones (3.24) a desarrollar y difundir
una cultura positiva de compliance sociolaboral (3.5), teniendo en cuenta que una gestión eficaz y sólida
de los riesgos relacionados con el mismo debería considerarse como una oportunidad para perseguir y
aprovechar, debido a los diversos beneficios que proporciona a la organización un clima excelente en
sus relaciones sociolaborales, como, por ejemplo:
– mejorar las oportunidades de negocio y la sostenibilidad social a través de un adecuado equilibrio

entre crecimiento económico, equidad social y el respeto del medio ambiente;
– proteger y mejorar su reputación y credibilidad;
– demostrar su compromiso en la gestión de sus riesgos de compliance sociolaboral de forma eficaz y

eficiente;
– incorporar la diversidad y la inclusión en la cultura de la organización prestando especial atención a

los colectivos especialmente vulnerables y, en particular, a las situaciones de discapacidad;
– minimizar el riesgo (3.32) de que se produzca un incumplimiento en el ámbito sociolaboral que

conlleve costos y daños a su reputación.
Y, por lo que respecta a las partes interesadas (3.26):
– tener en cuenta sus expectativas;
– aumentar su confianza en la capacidad de la organización para lograr un éxito sostenido.
El contenido de esta norma debería aplicarse atendiendo al principio de proporcionalidad, esto es,
adaptando la aplicación de sus requisitos (3.31) y recomendaciones al contexto de la organización, su
naturaleza, la complejidad de sus actividades y objetivos, su tamaño y el nivel de su madurez en materia
sociolaboral, entre otros.
La figura 1 proporciona una visión general de los elementos comunes de un sistema de gestión del
compliance.
30/11/2023
UNE 19604:2023 -6-
Figura 1 – Elementos de un sistema de gestión del compliance [UNE-ISO 37301][4]
En este documento se utilizan las siguientes formas verbales:
– “debe” indica un requisito;
– “debería” indica una recomendación;
– “puede” indica un permiso, una posibilidad o una capacidad.
La información indicada como “NOTA” se presenta a modo de orientación para la comprensión o

clarificación del requisito correspondiente.
30/11/2023
-7- UNE 19604:2023
1 Objeto y campo de aplicación

Esta norma especifica los requisitos y proporciona las directrices para establecer, desarrollar,
implementar, evaluar, mantener y mejorar un sistema de gestión del compliance sociolaboral (3.37)
eficaz dentro de una organización.
La norma es aplicable en el contexto de sistemas de gestión y control sobre riesgos de compliance

sociolaboral (3.33), estableciendo requisitos y directrices para disponer de modelos alineados con la
legislación sociolaboral española y los compromisos auto impuestos por la organización, estableciendo
requisitos y directrices para establecer, desarrollar, implementar, evaluar, mantener y mejorar un
sistema de gestión del compliance sociolaboral eficaz en la organización.
Esta norma es aplicable a toda clase de organizaciones, independientemente del tipo, tamaño y
naturaleza de su actividad, sean de sector privado o público, con o sin ánimo de lucro.
NOTA En el caso de organizaciones de sector público, la norma es aplicable respecto de su personal laboral.
La norma es de aplicación a los siguientes ámbitos:
a) El ejercicio de los derechos constitucionales en la organización y, en particular, de los relativos a:
– la igualdad y la no discriminación;
– la tutela de colectivos especialmente vulnerables, con especial atención a la discapacidad.
b) La relación individual de trabajo y, en particular:
– el acceso al empleo;
– las modalidades contractuales;
– los derechos y deberes laborales básicos;
– el salario;
– el tiempo de trabajo;
– la prestación laboral y el lugar de trabajo;
– la modificación de las condiciones de trabajo;
– la suspensión y las vicisitudes del contrato de trabajo;
– la extinción del contrato de trabajo.
c) Las relaciones colectivas de trabajo y, en particular, a:
– la libertad sindical;
– la información, la consulta y la participación de los representantes de los trabajadores;
30/11/2023
UNE 19604:2023 -8-
– las medidas de conflicto colectivo de trabajo;
– la negociación colectiva laboral.
d) La protección social y, en particular, a:
– las prestaciones de la Seguridad Social;
– las mejoras voluntarias;
– los sistemas de previsión social complementaria.
e) Cualquier otra obligación sociolaboral que la organización se obligue a cumplir.
Esta norma no es aplicable al ámbito de las obligaciones en materia de prevención de riesgos

sociolaborales. Esta norma no establece requisitos para ese ámbito por considerarse que existen normas
internacionales en el mercado que ya establecen los requisitos correspondientes [1][2][3].
Todos los requisitos especificados en este documento que hagan referencia a un órgano de gobierno
(3.25) se aplican a la alta dirección (3.2) en aquellos casos en los que una organización no tenga al
primero como función independiente.
Los requisitos de esta norma deben aplicarse de manera proporcional a cada supuesto y según las
circunstancias que se especifican en sus apartados 4.1, 4.2 y 4.5.
Si la totalidad o parte de los requisitos establecidos en esta norma entrasen en conflicto o estuviesen
prohibidos por alguna disposición legal o criterio jurisprudencial, la organización no estará obligada a
cumplir la totalidad o parte de ellos.
2 Normas para consulta

No hay normas para consulta en este documento.
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones siguientes (en orden alfabético).
3.1 acción correctiva:

Acción para eliminar las causas de una no conformidad (3.20) y evitar que vuelva a ocurrir.
3.2 alta dirección:

Persona o grupo de personas que dirigen y controlan una organización (3.24) al más alto nivel.
NOTA 1 La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización.
NOTA 2 Si el alcance del sistema de gestión de compliance sociolaboral (3.37) comprende solo una parte de una organización,
entonces la alta dirección se refiere a quienes dirigen y controlan esa parte.
NOTA 3 Para los fines de este documento, el término alta dirección (3.2) se refiere al más alto nivel de la dirección ejecutiva.
30/11/2023
-9- UNE 19604:2023
3.3 auditoría:
Proceso (3.30), sistemático e independiente para obtener las evidencias y evaluarlas de manera objetiva
con el fin de determinar el grado en el que se cumplen los criterios de auditoría.
NOTA 1 Una auditoría puede ser interna, o externa, y puede ser combinada (combinando dos o más disciplinas).
NOTA 2 Una auditoría interna es la que realiza la propia organización (3.24) o una parte externa en su nombre.
NOTA 3 Los términos, evidencia de auditoría y criterios de auditoría, se definen en la Norma ISO 19011.
NOTA 4 La independencia se puede demostrar por la ausencia de dependencia de la actividad objeto de la auditoría o por la
ausencia de parcialidad y de conflicto de intereses.
3.4 competencia:
Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos.
3.5 compliance sociolaboral:

Cumplimiento de todas las obligaciones de compliance sociolaboral (3.23) de la organización (3.24)
referidas a los ámbitos expresamente indicados en el capítulo 1.
3.6 conducta:
Comportamientos y prácticas que repercuten en los resultados para los clientes, empleados,
proveedores, mercados y comunidades.
3.7 conflicto de intereses:

Situación en la que intereses financieros, familiares, políticos o personales en negocios externos podrían
interferir en el juicio de los miembros de la organización (3.18) cuando desempeñan sus funciones en la
misma.
3.8 conformidad:
Cumplimiento de un requisito (3.31).
3.9 contratante externo:

Organización con la que se establece un acuerdo mediante el cual ésta realiza parte de una función o
proceso de otra organización (3.24).
3.10 cultura de compliance:

Valores, ética, creencias y conductas (3.6) que existen en una organización (3.24) y que interactúan con
las estructuras y sistemas de control de la misma para producir normas de comportamiento que
conducen al compliance.
NOTA Los elementos fundamentales de la cultura de compliance (3,10) se encuentran referidos en el apartado 7.1.
3.11 desempeño:
Resultado medible.
NOTA 1 El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
NOTA 2 El desempeño se puede relacionar con actividades de gestión, procesos (3.30), productos, servicios, sistemas u
organizaciones (3.24).
30/11/2023
UNE 19604:2023 - 10 -
3.12 diligencia debida:

Proceso (3.30) operativo que pretende obtener y evaluar la información para contribuir a la evaluación
del riesgo de compliance sociolaboral (3.33).
NOTA La expresión “diligencia debida” utilizada en esta norma, así como en las Normas UNE 19601 [7] y UNE 19602 [8].
a) Procede de la expresión anglosajona due diligence, que ha alcanzado una difusión universal suficiente para
utilizarla en igual sentido.
b) No coincide con la expresión española debida diligencia, que se acordó por el grupo Spanish Translation Task Force
(STTF) del Comité de proyecto ISO/PC 278, Anti-bribery management systems, en la traducción al español de la
Norma ISO 37001:2016 Anti-bribery management systems.
c) No debe confundirse con el significado primordial y el uso tradicional de esa misma expresión seguida de otras
(“de un buen padre de familia”, “de un ordenado comerciante”, etc. Uso consagrado por las leyes españolas desde
hace varios siglos, que quiere indicar, de manera compendiada, un estándar de comportamiento exigible a
determinadas personas para determinar su eventual responsabilidad en caso de actos con resultados adversos
para otras.
3.13 eficacia:
Grado en el que se realizan las actividades planificadas y se logran los resultados planificados.
3.14 función de compliance sociolaboral:

Persona o grupo de personas con responsabilidad y autoridad para la operación del sistema de gestión
de compliance sociolaboral (3.37).
NOTA Preferiblemente se asignará la supervisión del sistema de gestión del compliance sociolaboral a un solo individuo o a
un equipo coordinado por él.
3.15 información documentada:

Información que una organización (3.24) tiene que controlar y mantener, y el medio en el que está
contenida.
NOTA 1 La información documentada puede estar en cualquier formato y medio, así como provenir de cualquier fuente.
NOTA 2 La información documentada puede hacer referencia a:

– el sistema de gestión de compliance sociolaboral (3.37), incluidos los procesos (3.30) relacionados;
– la información creada para que la organización opere (documentación);
– la evidencia de los resultados alcanzados (registros).
3.16 medición:
Proceso (3.30) para determinar un valor.
3.17 mejora continua:

Actividad recurrente para mejorar el desempeño (3.11).
3.18 miembros de la organización:

Los integrantes del órgano de gobierno (3.25), directivos, personas trabajadoras, empleados,
temporales, bajo convenio de colaboración, voluntarios de una organización (3.24) y el resto de
personas bajo subordinación jerárquica de cualquiera de los anteriores.
NOTA Los riesgos de compliance sociolaboral (3.33) pueden afectar a personas que, sin mantener una relación jurídico-laboral
con la organización (3.24), desarrollan sus actividades de manera estable en su seno.
30/11/2023
- 11 - UNE 19604:2023
3.19 mitigar:
Actividad o proceso (3.30) recurrente para mejorar el desempeño (3.11).
3.20 no conformidad:
Incumplimiento de un requisito (3.31).
NOTA Una no conformidad no es, necesariamente, un no cumplimiento de compliance.
3.21 no cumplimiento de compliance sociolaboral:

Incumplimiento de las obligaciones de compliance sociolaboral (3.5).
NOTA 1 Se determina por resolución firme administrativa, judicial o del propio órgano de compliance, sea interno o externo.
NOTA 2 Las siguientes situaciones son ejemplos de situaciones que constituyen incumplimientos de obligaciones de
compliance sociolaboral:
a) Infracciones directas o derivadas que den lugar a la imposición de una sanción sociolaboral por la Autoridad
administrativa competente.
b) Incumplimientos de la normativa laboral, tanto interna como externa, que den lugar a reclamaciones de los
trabajadores ante los tribunales.
c) La comisión de delitos laborales y contra la Seguridad Social y la Hacienda Púbica que resulten penalmente
atribuibles a la organización.
e) En general, cualquier incumplimiento o cumplimiento defectuoso de un requisito (3.31):
– Derivado de una relación jurídico-laboral.
– Asumido por la organización (3.24) con carácter voluntario.
f) Cualquier incumplimiento, formal o material, no contemplado en los anteriores apartados y que pueda derivar
en una deuda o sanción laboral.
NOTA 3 Las normas sociolaborales, como toda regla de Derecho, presentan rasgos de indefinición derivados de su generalidad.
Su aplicación a cada caso requiere de una labor de interpretación de su contenido, no siempre unívoca.
La interpretación dada a una norma laboral por una organización puede no ser coincidente con la adoptada por las
administraciones, derivándose de ello un riesgo de compliance sociolaboral (3.33) legítimo, tanto más si no existe una
interpretación administrativa o judicial publicada respecto de ella.
Lo mismo puede suceder con la calificación, a efectos sociolaborales, de una operación que vaya a realizar o haya
realizado una organización.
3.22 objetivo de compliance sociolaboral:

Resultado a lograr.
NOTA 1 Los objetivos de compliance sociolaboral (3.22) hacen referencia al posicionamiento de la organización (3.24) respecto
de los riesgos de compliance sociolaboral (3.33), así como al establecimiento de medidas tendentes a su prevención,
detección, gestión y mitigación (3.19) tempranas.
NOTA 2 Un objetivo puede ser estratégico, táctico u operativo.
NOTA 3 Los objetivos se pueden aplicar en diferentes niveles, tales como estratégicos, para toda la organización (3.24),
proyectos, productos y procesos (3.30).
30/11/2023
UNE 19604:2023 - 12 -
NOTA 4 Un objetivo se puede expresar de diversas maneras: como un resultado previsto, un propósito, un criterio operativo,
un objetivo de buenas prácticas o mediante el uso de términos con un significado similar (ejemplo: finalidad o meta).
NOTA 5 En el contexto de su política de compliance sociolaboral (3.5) y su sistema de gestión (3.36), la organización (3.24)
establece sus objetivos con la finalidad de lograr resultados específicos de manera eficaz.
3.23 obligaciones de compliance sociolaboral:

Requisitos (3.31) que una organización tiene obligatoriamente que cumplir en sus relaciones laborales,
que mantiene con los miembros de la organización (3.18) y sus socios de negocio (3.38), así como aquellos
otros que la organización elige voluntariamente cumplir.
NOTA El origen de las obligaciones puede ser legal, convencional o procedente de un compromiso asumido con carácter
voluntario.
3.24 organización:
Persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y
relaciones para el logro de sus objetivos.
NOTA 1 El concepto de organización incluye, entre otros, una persona trabajadora independiente, compañía, corporación,
firma, empresa, autoridad, sociedad, institución benéfica, o una parte o combinación de estas, ya estén constituidas o
no, públicas, respecto de su personal laboral, o privadas.
NOTA 2 En el caso de que la organización forme parte de una entidad de mayor tamaño, el término se refiere solo a aquella
parte que está dentro del alcance del sistema de gestión.
3.25 órgano de gobierno:

Persona o grupo de personas que tienen la última responsabilidad y autoridad en las actividades,
gobierno y políticas de una organización (3.24) ante quienes la alta dirección (3.2) informa y rinde
cuentas.
NOTA 1 No todas las organizaciones, particularmente las de menor tamaño, tendrán un órgano de gobierno aparte de la alta
dirección.
NOTA 2 Un órgano de gobierno puede incluir, pero no está limitado a, un consejo directivo, comités de control, consejo de
control, directores y supervisores.
3.26 parte interesada:

Persona u organización (3.24) que puede afectar, verse afectada, o percibirse como afectada por una
decisión o actividad.
3.27 personal:
Individuos en una relación reconocida como laboral en la legislación o práctica nacional, o en cualquier
relación contractual cuya actividad dependa de la organización (3.24).
3.28 política de compliance sociolaboral:

Intenciones y dirección de una organización (3.24) en materia sociolaboral como las expresa
formalmente su órgano de gobierno (3.25).
3.29 procedimiento:
Forma específica de llevar a cabo una actividad o un proceso (3.30).
30/11/2023
- 13 - UNE 19604:2023
3.30 proceso:
Conjunto de actividades interrelacionadas o que interactúan, que emplean o transforman elementos de
entrada para obtener resultados.
NOTA Que el resultado de un proceso se denomine salida, producto o servicio depende del contexto de referencia.
3.31 requisito:
Necesidad o expectativa establecida, generalmente implícita u obligatoria.
NOTA 1 “Generalmente implícita” significa que es una costumbre o práctica común para la organización (3.24) y para las partes
interesadas (3.26), que la necesidad o expectativa que se considera está implícita.
NOTA 2 Un requisito especificado es el que está declarado, por ejemplo, en la información documentada (3.15).
3.32 riesgo:
Efecto de la incertidumbre sobre los objetivos de compliance sociolaboral (3.22).
NOTA 1 Un efecto es una desviación de lo esperado, ya sea positiva o negativa.
NOTA 2 Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o
conocimiento de un evento, su consecuencia o su probabilidad.
NOTA 3 Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (como se definen en la Guía ISO 73 [9]) y
consecuencias (como se definen en la Guía ISO 73 [9]), o a una combinación de ambos.
NOTA 4 Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos los
cambios de las circunstancias) y la probabilidad (como se define en la Guía ISO 73 [9]) asociada a que ocurra.
3.33 riesgo de compliance sociolaboral:

Probabilidad de ocurrencia y las consecuencias y/o impacto del no cumplimiento de compliance
sociolaboral (3.21), respecto a las obligaciones de compliance sociolaboral (3.23) de una organización
(3.24).
3.34 mejora continua:

Actividad o proceso (3.30) recurrente para mejorar el desempeño (3.11).
3.35 seguimiento:
Determinación del estado de un sistema, un proceso (3.30) o una actividad.
NOTA Para determinar el estado puede ser necesario verificar, supervisar u observar de forma crítica.
3.36 sistema de gestión:

Conjunto de elementos de una organización (3.24) interrelacionados o que interactúan para establecer
políticas, objetivos y procesos (3.30) para lograr esos objetivos.
NOTA 1 Un sistema de gestión puede tratar una sola disciplina o varias.
NOTA 2 Los elementos del sistema de gestión incluyen la estructura de la organización, los roles y las responsabilidades, la
planificación y la operación.
30/11/2023
UNE 19604:2023 - 14 -
3.37 sistema de gestión del compliance sociolaboral:

Conjunto de elementos de una organización (3.24) interrelacionados o que interactúan para concretar
y medir el nivel de consecución de objetivos de compliance sociolaboral (3.22), así como las políticas,
procesos y procedimientos implementados para lograr dichos objetivos.
3.38 socio de negocio:

Cualquier parte, salvo los miembros de la organización (3.18), con quien la organización (3.24) tiene, o
prevé establecer, algún tipo de relación de negocios.
NOTA 1 Los socios de negocio incluyen, pero no están limitados a clientes, joint ventures, socios de joint ventures, socios de
consorcios, contratistas, comisionistas, consultores, subcontratistas, proveedores, vendedores, asesores, agentes,
distribuidores, representantes, intermediarios e inversores. Esta definición es deliberadamente amplia y debería
interpretarse considerando el perfil de riesgo (3.32) de la organización (3.24).
NOTA 2 Distintos tipos de socios de negocio plantean diferentes tipos y grados de riesgo de compliance sociolaboral (3.33), y
una organización (3.24) tendrá distintos grados de capacidad para influir en ellos. Por ello, los socios de negocio
pueden ser tratados de forma distinta en función de la evaluación de riesgos (3.32) de la organización (3.24) y de sus
procedimientos (3.29).
NOTA 3 El término “negocio” en esta norma UNE debe interpretarse en sentido amplio, refiriéndose a aquellas actividades que
son fundamentales o beneficiosas para el propósito de la existencia de la organización (3.24).
[UNE 19601]
4 Contexto de la organización
4.1 Comprensión de la organización y de su contexto

La organización debe determinar las cuestiones, externas e internas, que son pertinentes para su
propósito y afectan a su capacidad para lograr los resultados previstos en su sistema de gestión del
compliance sociolaboral.
Con este propósito, la organización debe considerar una gran variedad de cuestiones, que incluyen, pero
no se limitan a:
– el modelo de negocio, que incluye la estrategia, la naturaleza, el tamaño y el nivel de complejidad y

sostenibilidad de sus actividades y operaciones;
– la naturaleza y el alcance de las relaciones con los contratantes externos;
– el contexto legal y regulatorio;
– la situación económica;
– los contextos social, cultural y ambiental;
– las estructuras, políticas, procesos (3.30), procedimientos (3.29) y recursos internos, incluyendo la
tecnología;
– su cultura de compliance (3.10);
– las entidades sobre las cuales ejerce control.
30/11/2023
- 15 - UNE 19604:2023
NOTA Una organización ejerce el control sobre otra cuando, directa o indirectamente, controla su gestión, en la medida en
que:
– posea la mayoría de los derechos de voto;
– tenga la facultad de nombrar o destituir a la mayoría de los miembros del órgano de gobierno;
– pueda disponer, en virtud de acuerdos celebrados con terceros, de la mayoría de los derechos de voto; o
– haya designado, con sus votos, a la mayoría de los miembros del órgano de gobierno.
– las entidades que ejercen control sobre la organización;
– las obligaciones y compromisos legales, contractuales o profesionales;
– la estrategia sociolaboral de la organización acordada por su órgano de gobierno.
4.2 Comprensión de las necesidades y expectativas de las partes interesadas

En relación con las partes interesadas, la organización debe determinar, a efectos del sistema de gestión
del compliance sociolaboral:
– las partes interesadas que son pertinentes al sistema de gestión del compliance sociolaboral;
– los requisitos pertinentes de estas partes interesadas;
– cuáles de esos requisitos se abordarán en el sistema de gestión.
NOTA 1 En el proceso de identificación de los requisitos de las partes interesadas, una organización puede distinguir entre los
que son de carácter obligatorio, de aquellos otros que constituyen compromisos asumidos voluntariamente.
NOTA 2 Los representantes unitarios y sindicales en una organización pueden tener la consideración de partes interesadas.
4.3 Determinación del alcance del sistema de gestión del compliance sociolaboral
La organización debe determinar los límites y la aplicabilidad del sistema de gestión del compliance
sociolaboral para establecer su alcance.
NOTA El alcance del sistema de gestión pretende aclarar los principales riesgos de compliance sociolaboral a los que se
enfrenta la organización y los límites geográficos u organizacionales, o ambos, a los que se aplicará, especialmente si es
parte de otra entidad más amplia.
Cuando se determina este alcance, la organización debe considerar:
– las cuestiones, externas e internas, referidas en el apartado 4.1 de esta norma;
– los requisitos de los apartados 4.2, 4.5 y 4.6;
– los resultados de la evaluación de los riesgos de compliance sociolaboral del apartado 4.5.
El alcance debe estar disponible como información documentada (3.15).
NOTA Un ejemplo de cómo llevar a cabo el análisis de factores y riesgos es la realización de un mapa de riesgos socio de
compliance sociolaboral, según las metodologías previstas en la Norma UNE-ISO 31000:2018 [10] y otros estándares de
gestión del riesgo de reconocido prestigio.
30/11/2023
UNE 19604:2023 - 16 -
4.4 Sistema de gestión del compliance sociolaboral

La organización debe establecer, implementar, mantener y mejorar continuamente (3.34) un sistema de
gestión del compliance sociolaboral, incluidos los procesos necesarios y sus interacciones, de acuerdo
con los requisitos de este documento.
El sistema de gestión del compliance debe, de un lado, reflejar los valores, objetivos, estrategia y riesgos
de compliance de la organización teniendo en cuenta el contexto de esta última (véase 4.1). De otro, debe
ser, en todos sus componentes, razonable y proporcionado, considerando los factores a que se refiere el
apartado 4.1 de esta norma.
NOTA No es posible eliminar completamente el riesgo de compliance y no puede exigirse, a ningún sistema de gestión del
compliance sociolaboral, que sea capaz de prevenir, detectar, gestionar y mitigar (3.19) todos los riesgos en esta materia.
El sistema de gestión del compliance sociolaboral debe incluir las políticas, y las medidas diseñadas para
evaluar el riesgo de incumplimiento sociolaboral, prevenirlo, detectarlo, gestionarlo y mitigarlo de
manera temprana cuando no sea posible eliminarlo.
4.5 Obligaciones de compliance sociolaboral

La organización debe identificar sistemáticamente sus obligaciones de compliance sociolaboral (3.23)
como resultado de sus actividades, procesos, productos y servicios, así como evaluar el impacto de éstas
en sus operaciones.
Para ello, debe disponer de procesos con los que:
– identificar obligaciones de compliance sociolaboral nuevas y modificadas para asegurar un

cumplimiento continuo;
– evaluar el impacto de los cambios identificados e implementar cualquier cambio necesario en la

gestión de las obligaciones de compliance.
A estos efectos, la organización debe conservar la información documentada sobre tales obligaciones.
4.6 Evaluación de los riesgos de compliance sociolaboral
4.6.1 Generalidades
La organización debe identificar, analizar y valorar sus riesgos de compliance sociolaboral basándose en
una evaluación pertinente de los mismos de acuerdo a su probabilidad e impacto en la organización.
La evaluación debe incluir los riesgos de compliance sociolaboral relacionados con procesos contratados
externamente.
4.6.2 Identificación y análisis de riesgos sociolaborales

La organización debe identificar y analizar los riesgos de compliance sociolaboral, teniendo en cuenta
actividades, procesos, productos, servicios y los aspectos relevantes de sus operaciones, las causas y
fuentes de incumplimiento sociolaboral, así como la probabilidad de que se materialicen y la gravedad
de sus consecuencias (económicas, administrativas, penales y reputacionales).
30/11/2023
- 17 - UNE 19604:2023
4.6.3 Valoración de riesgos sociolaborales

La organización debe establecer criterios para valorar su nivel de riesgo sociolaboral, teniendo en
cuenta sus objetivos de compliance, y los compromisos asumidos en su política de compliance. A estos
efectos debe predeterminar el nivel de tolerancia que está dispuesta a aceptar.
4.6.4 Revisión de la evaluación de riesgos sociolaborales

La organización debe revisar la evaluación:
– de forma periódica;
– cuando se produzcan cambios significativos en la estructura o actividad de la organización;
– cuando se produzcan cambios legislativos que afecten a la política de compliance sociolaboral;
– en caso de que se produzcan incumplimientos de compliance sociolaboral.
4.6.5 Información documentada sobre los riesgos sociolaborales

La organización debe conservar información documentada sobre la evaluación de los riesgos de
compliance sociolaboral y sobre las acciones para abordar sus riesgos de compliance sociolaboral.
5 Liderazgo
5.1 Liderazgo y compromiso

El liderazgo dentro de la organización debe desempeñar un papel fundamental en el impulso, diseño,
implementación, mantenimiento y mejora continua del sistema de gestión del compliance sociolaboral.
5.1.1 Órgano de gobierno y alta dirección

El órgano de gobierno y la alta dirección deben demostrar liderazgo y compromiso con respecto al
sistema de gestión del compliance sociolaboral:
– asegurando que se establezcan la política de compliance sociolaboral (3.28) y los objetivos de

compliance sociolaboral (3.22) y que éstos sean compatibles con la dirección estratégica de la
organización;
– asegurando la integración de los requisitos del sistema de gestión en los procesos de negocio;
– asegurando que los recursos que necesita el sistema están disponibles;
– comunicando la importancia de su gestión eficaz y de conformidad (3.8) con los requisitos

establecidos en el mismo;
– asegurando que el sistema logra los resultados previstos;
– dirigiendo y apoyando a las personas, para contribuir a su eficacia;
– promoviendo su mejora continua;
30/11/2023
UNE 19604:2023 - 18 -
– apoyando a otros roles pertinentes a demostrar su liderazgo en sus correspondientes áreas de

responsabilidad.
NOTA Las referencias al término negocio en este documento se pueden interpretar ampliamente como aquellas actividades
que son fundamentales para los propósitos de la existencia de la organización.
El órgano de gobierno debe designar un órgano de compliance sociolaboral y su composición al que se

encomienda la supervisión del funcionamiento y la eficacia de su sistema de gestión sociolaboral,
otorgándole poderes autónomos de iniciativa y control a fin de que pueda desarrollar eficazmente su
labor.
El órgano de gobierno y la alta dirección deben:
– establecer y defender, como uno de los valores fundamentales de la organización, que las actuaciones
de sus miembros sean siempre conformes a las normas de naturaleza laboral y a los compromisos
asumidos voluntariamente por la organización, promoviendo una cultura de compliance sociolaboral
adecuada en su seno e integrada en la gestión;
– asegurar que:
1) se desarrollan e implementan políticas, procesos y procedimientos para alcanzar sus objetivos

de compliance sociolaboral;
2) a todos sus miembros se les informa, de manera oportuna, de las cuestiones relacionadas con el
compliance sociolaboral, incluidos los casos de no cumplimiento, y asegurar que se toman las
acciones adecuadas;
3) se mantiene el compromiso de compliance sociolaboral y que se gestionan adecuadamente los

no cumplimientos y los comportamientos contrarios al mismo;
4) se establece un sistema para el levantamiento y el tratamiento de inquietudes acorde con lo que

establece el apartado 8.3;
– designar o nominar una función de compliance sociolaboral (3.14) (véase 5.3.2).
5.1.2 Cultura de compliance sociolaboral

La organización debe desarrollar, mantener y promover una cultura de compliance sociolaboral en todos
sus niveles.
El órgano de gobierno, la alta dirección y la dirección, deben demostrar un compromiso activo, visible,
consistente y sostenido, con un estándar común de comportamiento y conducta (3.6) que se requiere en
toda la organización, así como a los contratantes externos que corresponda (3.9).
La alta dirección debe fomentar comportamientos que creen y apoyen el compliance, evitando tolerar
aquellos comportamientos que lo comprometan.
5.1.3 Gobernanza del compliance sociolaboral

El órgano de gobierno y la alta dirección deben asegurar, en relación a la función de compliance
sociolaboral, que se implementan los siguientes principios:
30/11/2023
- 19 - UNE 19604:2023
– el acceso directo de la función de compliance sociolaboral al órgano de gobierno;
– la independencia de la función de compliance sociolaboral;
– la autoridad y la competencia (3.4) adecuadas de la función de compliance sociolaboral.
NOTA1 El acceso directo puede incluir: tener una línea de información directa con el órgano de gobierno, presentarle informes
periódicamente o participar en sus reuniones.
NOTA 2 Independencia significa ausencia de interferencia y/o presión indebida con la operación de la función de compliance
sociolaboral.
5.1.4 Código de conducta

La organización debe tener como elemento básico del sistema de compliance sociolaboral un código de
conducta que establezca, entre otras cosas, el compromiso total de la organización con las obligaciones
de compliance sociolaboral pertinentes. El código de conducta debe seguirse por todo el personal (3.27)
y ser accesible.
5.2 Política de compliance sociolaboral

El órgano de gobierno y la alta dirección deben establecer una política de compliance sociolaboral que:
– sea adecuada al propósito de la organización;
– proporcione un marco de referencia para el establecimiento de los objetivos de compliance

sociolaboral;
– incluya el compromiso de cumplir las obligaciones de compliance sociolaboral;
– incluya el compromiso de mejora continua del sistema de gestión del compliance sociolaboral;
– establezca los canales de comunicación de incumplimientos;
– determine las consecuencias derivadas de incumplimiento de las políticas de compliance

sociolaboral.
La política de compliance sociolaboral debe:
– estar alineada con los valores, objetivos y estrategia de la organización;
– identificar las actividades en cuyo ámbito puedan producirse no cumplimientos que deban ser
prevenidos;
– requerir el cumplimento de legislación y el resto de obligaciones de compliance sociolaboral de la

organización;
NOTA La legislación sociolaboral, como toda regla de Derecho, presenta rasgos de indefinición derivados de su generalidad.
Su aplicación a cada caso requiere de una labor de interpretación de su contenido, no siempre unívoca.
La interpretación dada a la legislación laboral por una organización puede no ser coincidente con la adoptada por las
administraciones, derivándose de ello un riesgo de compliance legítimo, tanto más si no existe una interpretación
administrativa o judicial publicada respecto de ella.
30/11/2023
UNE 19604:2023 - 20 -
Lo mismo puede suceder con la calificación, a efectos sociolaborales, de una operación que vaya a realizar o haya
realizado una organización.
– apoyar los principios de la gobernanza del compliance sociolaboral de acuerdo con el apartado 5.1.3
de esta norma;
– prohibir la comisión dolosa de infracciones sociolaborales, tender a minimizar su comisión culpable

o negligente;
– minimizar la exposición de la organización a los riesgos de compliance sociolaboral de forma eficiente

o proporcionada;
– hacer referencia a la función de compliance sociolaboral y describirla;
– determinar las consecuencias de no cumplir con las obligaciones de compliance sociolaboral, las
políticas, los procesos y los procedimientos de la organización;
– fomentar el planteamiento de inquietudes y prohibir cualquier tipo de represalia;
– estar escrita en un lenguaje sencillo, de forma que todo el personal pueda entender fácilmente los
principios y su intención;
– implementarse y hacerse cumplir de forma adecuada;
– comunicarse asegurando que llega a todos los niveles de la organización;
– estar disponible para las partes interesadas, según corresponda;
– estar disponible como información documentada;
– explicitar la autoridad e independencia del órgano de compliance sociolaboral.
5.3 Roles, responsabilidades y autoridades
5.3.1 Órgano de gobierno y alta dirección

El órgano de gobierno y la alta dirección deben asegurarse de que las responsabilidades y autoridades
para los roles pertinentes en el ámbito sociolaboral se asignen y comuniquen dentro de la organización.
El órgano de gobierno y la alta dirección deben asignar la responsabilidad y autoridad para:
– asegurar que el sistema de gestión del compliance sociolaboral cumple los requisitos de este
documento; se dirige y apoya a las personas para contribuir a la plena eficacia del sistema de
compliance sociolaboral, mediante la suficiente y adecuada información sobre el desempeño (3.11)
del sistema;
– recibir información sobre el desempeño del sistema.
El órgano de gobierno debe, en relación con la alta dirección:
– asegurar que se la evalúa en función del logro de los objetivos de compliance sociolaboral;
30/11/2023
- 21 - UNE 19604:2023
– ejercer la supervisión sobre la misma en relación con la operación del sistema de gestión del
compliance sociolaboral;
– asegurar la disponibilidad de los recursos necesarios para el logro de los objetivos del compliance
sociolaboral.
La alta dirección debe:
– asignar recursos adecuados y apropiados para establecer, desarrollar, implementar, evaluar,

mantener y mejorar el sistema de gestión del compliance sociolaboral;
– asegurar, respecto de este último, que existen sistemas eficaces para informar oportunamente sobre
su desempeño;
– asegurar el alineamiento entre las metas estratégicas y las operativas, así como las obligaciones de
compliance sociolaboral;
– establecer y mantener los mecanismos de rendición de cuentas, incluidas las consecuencias y

acciones disciplinarias;
– asegurar la integración del cumplimiento de los objetivos del compliance sociolaboral en las
evaluaciones de desempeño del personal.
5.3.2 Función de compliance sociolaboral

La función de compliance sociolaboral debe responsabilizarse de la operación del sistema de gestión del
compliance sociolaboral, que incluye lo siguiente:
– facilitar la identificación de las obligaciones de compliance sociolaboral;
– documentar la evaluación de los riesgos de compliance sociolaboral (véase 4.6);
– alinear el sistema de gestión del compliance sociolaboral con los objetivos de compliance
sociolaboral;
– medir y hacer seguimiento (3.35) del desempeño del compliance sociolaboral;
– analizar y evaluar el desempeño del sistema de gestión del compliance sociolaboral para identificar
cualquier necesidad de acción correctiva;
– establecer un sistema de información y documentación de compliance sociolaboral;
– asegurarse de que el sistema de gestión del compliance sociolaboral se revise a intervalos

planificados (véanse 9.2 y 9.3);
– establecer un cauce para plantear inquietudes y asegurar que estas se aborden.
La función de compliance sociolaboral debe ejercer la vigilancia sobre:
– las responsabilidades para lograr que las obligaciones de compliance sociolaboral identificadas se
asignen, de forma adecuada, en toda la organización;
30/11/2023
UNE 19604:2023 - 22 -
– que las obligaciones de compliance sociolaboral estén integradas en las políticas, los procesos y los
procedimientos;
– que todo el personal pertinente esté formado como corresponda;
– que estén establecidos indicadores de desempeño.
La función de compliance sociolaboral debe proporcionar:
– el acceso del personal a los recursos relacionados con las políticas, los procedimientos y los procesos
de compliance sociolaboral;
– el asesoramiento a la organización en materias relacionadas con este último.
NOTA Las tareas específicas de la función de compliance sociolaboral no exoneran a otros empleados de sus responsabilidades
con relación al mismo.
La organización debe asegurar que a la función de compliance se le ha dado acceso a:
– los tomadores de decisiones de alto nivel y a la oportunidad de contribuir, en etapas tempranas, en

los procesos de toma de decisiones;
– todos los niveles de la organización;
– todo el personal, información documentada y datos necesarios;
– el asesoramiento experto en legislación, normativa, códigos y normas organizacionales pertinentes.
La dirección debe ser responsable del compliance sociolaboral dentro de su área de responsabilidad:
– cooperando y apoyando a la función de compliance sociolaboral y animando a los empleados a

hacerlo de la misma forma;
– asegurando que todo el personal bajo su control cumple con las obligaciones, las políticas, los
procedimientos y los procesos de compliance sociolaboral de la organización;
– identificando y comunicando los riesgos de compliance sociolaboral en sus operaciones;
– integrando las obligaciones de compliance sociolaboral en las prácticas y procedimientos de negocio

existentes en sus áreas de responsabilidad;
– asistiendo y apoyando las actividades formativas de compliance sociolaboral;
– desarrollando la concienciación del personal sobre las obligaciones de compliance sociolaboral y

dirigiéndolos a que cumplan los requisitos de formación y competencia;
– animando al personal a plantear inquietudes en materia de compliance sociolaboral y apoyándoles e

impidiendo cualquier forma de represalia;
– participando, activamente, en la gestión y resolución de incidentes y cuestiones relacionadas con el

compliance sociolaboral cuando corresponda;
30/11/2023
- 23 - UNE 19604:2023
– asegurando que, una vez que se identifica la necesidad de una acción correctiva, se recomienda y se
implementa la adecuada.
5.3.3 Órgano de compliance sociolaboral

El órgano que asuma la función de compliance sociolaboral debe ser designado por el órgano de
gobierno de la organización, determinando la composición del mismo, y dotándole de los recursos que
fueren necesarios para el correcto desempeño de sus funciones.
Asimismo, el órgano de gobierno debe elegir la forma, colegiada o unipersonal, que deba tener el órgano
de compliance sociolaboral.
NOTA 1 En la medida de lo posible, el órgano de compliance sociolaboral debería contar con un especialista en la materia
sociolaboral (que podrá ser un externo ajeno a la organización).
Es especialmente recomendable la incorporación de un miembro del departamento de Recursos Humanos o del de

Relaciones Laborales al órgano de compliance sociolaboral.
El órgano de compliance sociolaboral debe actuar bajo los principios de autonomía, independencia,
imparcialidad y diligencia debida (3.12), con plenas competencias de iniciativa y control.
El funcionamiento del órgano de compliance sociolaboral debe seguir las disposiciones establecidas
internamente y que haya aprobado el órgano de gobierno.
NOTA 2 El órgano de compliance sociolaboral, de naturaleza colegiada o unipersonal, puede ser:
a) Órgano de la organización que tenga legalmente encomendada la función de supervisar la eficacia (3.13) de sus
controles internos.
b) Órgano o unidad de la organización ad hoc y al que el órgano de administración otorga poderes de iniciativa y
control.
c) En el caso de las personas jurídicas de reducidas dimensiones el órgano de compliance sociolaboral puede ser el
propio órgano de gobierno.
El órgano de compliance sociolaboral debe tener la responsabilidad y autoridad para llevar a cabo, de
forma directa o indirecta, las siguientes actuaciones, asignadas por el órgano de gobierno:
a) Impulsar y supervisar, de manera continua, la implementación y eficacia del sistema de gestión del
compliance sociolaboral en los distintos ámbitos de la organización.
b) Proporcionar apoyo formativo continuo a los miembros de la organización (3.18) pertinentes para
garantizar que todos ellos son formados con regularidad.
c) Promover la inclusión de las responsabilidades de compliance sociolaboral en las descripciones de

puestos de trabajo y en los procesos de gestión del desempeño de los miembros de la organización.
d) Poner en marcha un sistema de información y documentación de compliance sociolaboral.
e) Adoptar e implementar procesos para gestionar la información, tales como las reclamaciones y/o
comentarios recibidos de líneas directas, un canal de comunicación de incumplimientos, o
sospechas fundadas de incumplimientos de un requisito (8.6) u otros mecanismos.
f) Establecer indicadores de desempeño de compliance sociolaboral y medirlos en la organización.
30/11/2023
UNE 19604:2023 - 24 -
g) Analizar el desempeño para identificar la necesidad de acciones correctivas (3.1).
h) Identificar y gestionar los riesgos sociolaborales, incluyendo los relacionados con los socios de
negocio (3.38).
i) Revisar el sistema de gestión del compliance sociolaboral a intervalos planificados.
j) Proporcionar a los empleados acceso a los recursos de compliance sociolaboral.
k) Informar al órgano de gobierno y a la alta dirección, si existe, sobre los resultados derivados de la
aplicación del sistema de gestión del compliance sociolaboral.
El órgano de compliance sociolaboral debe personificar la posición de máximo garante de la supervisión,

vigilancia y control de los requisitos en esta materia de la organización, tanto hacia dentro como hacia
fuera de la misma, por lo que debe disponer de suficientes recursos y contar con personal que tenga las
competencias, estatus, autoridad e independencia adecuadas.
El órgano de compliance sociolaboral debe tener acceso, directo e inmediato, al órgano de gobierno en
caso de que sea preciso elevar hechos o conductas sospechosas o asuntos relacionados con sus objetivos
y, por lo tanto, con la política y el sistema de gestión.
El órgano de compliance sociolaboral debe ocupar una posición en la organización que le acredite para
solicitar y recibir la colaboración plena de los demás órganos de la misma.
NOTA El órgano de compliance sociolaboral debería, además:
a) Contribuir a la identificación de las obligaciones de compliance, con el apoyo de los recursos necesarios, y
colaborar para que esas obligaciones se traduzcan en políticas, procedimientos y procesos viables.
b) Colaborar para que las obligaciones de compliance se integren en las políticas, procedimientos y procesos
existentes.
c) Asegurar que hay acceso a un asesoramiento profesional adecuado para la adopción, implementación,
mantenimiento y mejora continua del sistema de gestión del compliance.
d) Proporcionar asesoramiento objetivo a la organización en materias relacionadas con el compliance.
Cuando se asignen las responsabilidades, se debe considerar la forma de asegurar que el órgano de
compliance sociolaboral no tiene conflictos de intereses (3.7) y que ha demostrado:
1) Integridad y compromiso con el compliance sociolaboral.
2) Habilidades de comunicación eficaz y de capacidad de influencia.
3) Capacidad y prestigio para que sus consejos y directrices tengan aceptación.
4) Competencia necesaria.
NOTA En muchas organizaciones no existirá un órgano de compliance sociolaboral, sino que existirá un órgano de compliance
transversal.
5.3.4 Dirección
La dirección debe ser responsable del compliance sociolaboral dentro de su área de responsabilidad:
30/11/2023
- 25 - UNE 19604:2023
– cooperando y apoyando a la función de compliance sociolaboral y animando a los empleados a

hacerlo de la misma forma;
– asegurando que todo el personal bajo su control cumple con las obligaciones, las políticas, los
procedimientos y los procesos de compliance sociolaboral de la organización;
– identificando y comunicando los riesgos de compliance sociolaboral en sus operaciones;
– integrando las obligaciones de compliance sociolaboral en las prácticas y procedimientos de negocio

existentes en sus áreas de responsabilidad;
– asistiendo y apoyando las actividades formativas de compliance sociolaboral;
– desarrollando la concienciación del personal sobre las obligaciones de compliance sociolaboral y

dirigiéndolos a que cumplan los requisitos de formación y competencia;
– ofreciendo al personal la posibilidad de plantear inquietudes en materia de compliance sociolaboral

y apoyándoles e impidiendo cualquier forma de represalia;
– participando activamente en la gestión y resolución de incidentes y cuestiones relacionadas con el

compliance sociolaboral cuando corresponda;
– asegurando que, una vez que se identifica la necesidad de una acción correctiva, se recomienda y se
implementa la adecuada;
– velando por la adecuada conexión entre la dirección y los responsables en materia laboral en la
organización.
5.3.5 Personal
Todo el personal debe:
– observar las obligaciones, las políticas, los procesos y los procedimientos de compliance sociolaboral
de la organización;
– informar sobre inquietudes, cuestiones y fallos de compliance sociolaboral;
– participar en la formación cuando corresponda.
6 Planificación
6.1 Acciones para abordar los riesgos y oportunidades

Al planificar el sistema de gestión del compliance sociolaboral, la organización debe considerar las
cuestiones referidas en el apartado 4.1 de esta norma y los requisitos del apartado 4.2, así como
determinar los riesgos y oportunidades que necesitan abordarse para:
– asegurar que el sistema puede lograr los resultados previstos;
– prevenir o reducir los efectos no deseados;
30/11/2023
UNE 19604:2023 - 26 -
– lograr la mejora continua.
Al planificar el sistema de gestión del compliance sociolaboral, la organización debe considerar:
– sus objetivos de compliance sociolaboral (véase 6.2);
– las obligaciones de compliance sociolaboral identificadas (véase 4.5);
– los resultados de la evaluación de los riesgos de compliance sociolaboral (véase 4.6).
La organización debe planificar:
– las acciones para abordar los riesgos y oportunidades;
– la forma de:
1) integrar e implementar las acciones del sistema de gestión del compliance sociolaboral en sus
procesos;
2) evaluar la eficacia de estas acciones;
3) generar evidencias de cumplimiento en el momento de realizar los controles y revisiones de su

gestión de forma inalterable o integra.
6.2 Objetivos de compliance sociolaboral y planificación para lograrlos

La organización debe establecer los objetivos de compliance sociolaboral en las funciones y niveles
pertinentes.
Los objetivos de compliance sociolaboral deben:
– ser coherentes con la política de compliance sociolaboral;
– ser medibles (si es posible);
– tener en cuenta los requisitos aplicables;
– ser objeto de seguimiento;
– comunicarse;
– actualizarse cuando corresponda;
– estar disponibles como información documentada.
Cuando planifica cómo lograr sus objetivos, la organización debe determinar:
– qué se va a hacer;
– qué recursos serán necesarios;
30/11/2023
- 27 - UNE 19604:2023
– quién será responsable;
– cuándo se finalizará;
– cómo se evaluarán los resultados.
6.3 Planificación de los cambios

Cuando la organización determine la necesidad de hacer cambios en el sistema de gestión del compliance
sociolaboral, estos deben realizarse de forma planificada.
Para ello, debe considerar:
– el propósito de los cambios y sus potenciales consecuencias;
– el diseño y la eficacia operacional del sistema;
– la disponibilidad de los recursos adecuados;
– la asignación o reasignación de las responsabilidades y autoridades.
7 Apoyo
7.1 Recursos
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento,
implementación, mantenimiento y mejora continua del sistema de gestión del compliance sociolaboral.
7.2 Competencia
7.2.1 Generalidades
La organización debe:
– determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que
afecta a su desempeño del compliance sociolaboral;
– asegurarse de que estas personas sean competentes, basándose en la educación, formación o

experiencia adecuadas;
– cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la eficacia de
las acciones tomadas.
Las evidencias sobre la competencia deben estar disponibles como información documentada.
NOTA Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la reasignación de las personas empleadas,
o la contratación de otras más competentes.
30/11/2023
UNE 19604:2023 - 28 -
7.2.2 Proceso de empleo

En relación con todo su personal, la organización debe desarrollar, establecer, implementar y mantener
procesos de manera que:
– las condiciones de empleo requieran que el personal cumpla con las obligaciones, las políticas, los
procesos y los procedimientos de compliance sociolaboral de la organización;
– en un periodo de tiempo razonable desde su incorporación al empleo, el personal reciba una copia o
se le dé acceso a la política de compliance sociolaboral y a formación relacionada con la misma, en el
supuesto de que sea pertinente en relación con el puesto ocupado;
– se tomen las acciones disciplinarias adecuadas contra el personal que infrinja las obligaciones, las
políticas, los procesos y los procedimientos de compliance sociolaboral de la organización.
Como parte del proceso de empleo, la organización debe considerar los riesgos de compliance
sociolaboral que presentan los roles y el personal, así como aplicar los procedimientos de diligencia
debida que correspondan antes de cualquier contratación, cambio de puesto o promoción.
La organización debe implementar un proceso que permita la revisión periódica de las metas,
bonificaciones y demás incentivos de desempeño, para verificar que se aplican las medidas adecuadas
para evitar que se fomente el no cumplimiento de compliance sociolaboral (3.21).
7.2.3 Formación
La organización debe proporcionar formación pertinente al personal sobre compliance sociolaboral, de
forma regular, desde su incorporación y a intervalos planificados por ella.
La formación debe:
– ser adecuada a los roles del personal y a los riesgos de compliance sociolaboral a los que está
expuesto;
– evaluarse en términos de eficacia;
– revisarse regularmente.
Teniendo en cuenta los riesgos de compliance sociolaboral identificados, la organización debe

asegurarse de que se implementan procedimientos para abordar la toma de conciencia y la formación
en esta materia en contratantes externos que actúan en su nombre, y que pueden suponer un riesgo
para la misma.
Los registros de formación se deben conservar como información documentada.
7.3 Toma de conciencia

Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia de:
– la política de compliance sociolaboral;
30/11/2023
- 29 - UNE 19604:2023
– su contribución a la eficacia del sistema de gestión, incluidos los beneficios de una mejora del
desempeño;
– las implicaciones de no cumplir los requisitos de dicho sistema;
– los medios y procedimientos para plantear inquietudes de compliance sociolaboral (véase 8.6);
– la relación entre la política de compliance sociolaboral y las obligaciones de compliance sociolaboral

pertinentes para sus roles;
– la importancia de apoyar la cultura de compliance.
7.4 Comunicación
La organización debe determinar las comunicaciones, internas y externas, pertinentes al sistema de
gestión del compliance sociolaboral, que incluyan:
– el contenido de la comunicación;
– cuándo comunicar;
– a quién comunicar;
– cómo comunicar;
– quién debe realizar la comunicación;
– los idiomas y el lenguaje en el que deberá realizarse.
– considerar los aspectos de la diversidad y los obstáculos potenciales, al considerar sus necesidades
de comunicación;
– asegurar que las opiniones de las partes interesadas se consideran al establecer los procesos de
comunicación;
– al establecer los procesos de comunicación, debe:
1) incluir las comunicaciones en su cultura de compliance sociolaboral, en sus objetivos y

obligaciones de compliance sociolaboral;
2) asegurar que la información objeto de la comunicación es consistente con la generada en el

sistema de gestión del compliance sociolaboral y es fiable;
– responder a las comunicaciones pertinentes sobre el sistema de gestión;
– conservar la información documentada como evidencia de sus comunicaciones, cuando corresponda;
30/11/2023
UNE 19604:2023 - 30 -
– comunicar, internamente, la información pertinente para el sistema de gestión a los distintos niveles
y funciones de la organización, incluidos los cambios en el mismo, cuando corresponda;
– asegurar que sus procesos de comunicación permiten al personal contribuir a la mejora continua del
sistema de gestión;
– asegurar que sus procesos de comunicación posibilitan que el personal pueda plantear inquietudes
(véase 8.3);
– comunicar externamente la información pertinente para el sistema de gestión del compliance

sociolaboral, según se establezca en los procesos de comunicación de la organización;
– incluir la comunicación en su cultura de compliance sociolaboral, sus objetivos y obligaciones de

7.5 Información documentada
7.5.1 Generalidades
El sistema de gestión del compliance sociolaboral de la organización debe incluir la siguiente
información documentada:
– la requerida en este documento;
– la que la organización ha determinado como necesaria para la eficacia de su sistema.
NOTA La extensión de la información documentada para un sistema de gestión del compliance sociolaboral puede ser diferente
de una organización a otra debido a:
– el tamaño de la organización, el tipo de actividades que realiza, sus procesos, productos y servicios;
– la complejidad de los procesos y sus interacciones;
– la competencia de las personas.
7.5.2 Creación y actualización de la información documentada

Al crear y actualizar información documentada, la organización debe asegurarse de que lo siguiente sea
apropiado:
– la identificación y descripción (por ejemplo, título, fecha, autor o número de referencia);
– el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por ejemplo,
papel, electrónico);
– la revisión y aprobación con respecto a la idoneidad y adecuación.
7.5.3 Control de la información documentada

La información documentada, requerida por el sistema de gestión del compliance sociolaboral y por este
documento, se debe controlar para asegurar que:
30/11/2023
- 31 - UNE 19604:2023
– está disponible y es adecuada para su uso, dónde y cuándo se necesite;
– está protegida adecuadamente (por ejemplo, contra pérdida de confidencialidad, uso inadecuado, o
pérdida de integridad).
Para su control, la organización debe tratar las siguientes actividades, según corresponda:
– la distribución, el acceso, la recuperación y el uso;
– el almacenamiento y la preservación, incluida la preservación de la legibilidad;
– el control de cambios (por ejemplo, control de versión);
– la retención y la disposición.
La información documentada de origen externo que la organización determina como necesaria para la
planificación y operación del sistema de gestión del compliance sociolaboral se debe identificar según
sea apropiado, y controlar.
NOTA El acceso puede implicar una decisión en relación al permiso para acceder a la información documentada, solamente
para su consulta, o al permiso y a la autoridad para consultarla y modificarla.
8 Operación
8.1 Planificación y control operacional

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los
requisitos y para implementar las acciones determinadas en el capítulo 6 de esta norma, mediante:
– el establecimiento de criterios para los procesos;
– la implementación del control de los procesos de acuerdo con los criterios.
La organización debe establecer controles en sus procesos operacionales cuando su ausencia pudiera
llevar a desviaciones de la política de compliance sociolaboral o a un incumplimiento de las obligaciones
de compliance sociolaboral.
El código de conducta será un elemento básico de los controles de los procesos operacionales
(véase 5.1.4).
NOTA Las medidas de compliance sociolaboral basadas y derivadas de un código de conducta deberían incorporarse a las
operaciones diarias de la organización para fomentar la cultura de compliance sociolaboral.
La información documentada debe estar disponible en la medida necesaria para confiar en que los
procesos se han llevado a cabo según lo planificado.
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no
previstos, tomando acciones para mitigar los efectos adversos, según sea necesario.
30/11/2023
UNE 19604:2023 - 32 -
La organización debe asegurarse de que los procesos, productos o servicios que se proporcionan
externamente y son pertinentes al sistema de gestión del compliance sociolaboral, se controlan.
La organización debería velar por que los procesos realizados por contratantes externos se encuentren
previstos en su sistema de gestión del compliance sociolaboral.
La organización debería establecer los mecanismos pertinentes para verificar la existencia de controles
razonables que permitan evitar, detectar y gestionar los riesgos de manera temprana.
NOTA La contratación externa de las operaciones de una organización no le exime de sus responsabilidades legales o de sus
obligaciones de compliance sociolaboral.
8.2 Establecimiento de controles y procedimientos

La organización debe implementar los controles adecuados que persigan impedir la aparición del riesgo
sociolaboral en el seno de su actividad y, cuando su evitación no resulte posible, minimizar su impacto
y facilitar su pronta identificación y corrección. En particular, controles sobre compras, operaciones,
comercialización y otros procesos, que resulten adecuados para evitar, detectar, minimizar riesgos de
compliance sociolaboral de manera temprana y que aseguren que dichos procesos están siendo
gestionados adecuadamente.
Los controles deben ser claros y concretos, flexibles, eficientes, objetivos y evaluables, con especial
atención a su función preventiva.
Estos controles se deben mantener, revisar y probar periódicamente para asegurarse de que continúan
siendo eficaces.
NOTA 1 Los controles variarán, en gran medida, dependiendo de la naturaleza de la actividad desarrollada por la organización
y de los riesgos a los que se encuentre expuesta, así como de su tamaño.
NOTA 2 Los controles pueden aplicarse sobre procesos directamente vinculados con la política de Recursos Huma-
nos/Relaciones Laborales en la organización (por ejemplo: existencia de una adecuada política en los procesos de
selección y contratación, políticas de igualdad y diversidad, promoción profesional, conciliación de la vida familiar y
laboral, existencia de protocolos para la prevención y erradicación del acoso, etc...) como en otros ámbitos de la
organización que resulten adecuados para evitar, detectar o gestionar riesgos de incumplimiento sociolaboral de
manera temprana y que aseguren la adecuada gestión de los procesos implicados.
NOTA 3 Los controles pueden incluir:
– las políticas operativas, los procesos, los procedimientos, e instrucciones de trabajo documentados, claros,
prácticos y fáciles de seguir;
– los sistemas e informes de excepciones;
las autorizaciones;
– la segregación de roles y las responsabilidades incompatibles;
– los procesos automatizados;
– los planes anuales de compliance;
– los planes de desempeño de empleados;
– las evaluaciones de compliance y las auditorías (3.3);
– el compromiso demostrado de la dirección y su comportamiento ejemplarizante, así como otras medidas para
promover un comportamiento cumplidor;
30/11/2023
- 33 - UNE 19604:2023
– la comunicación activa, abierta y frecuente sobre el comportamiento esperado de los empleados (estándares,
valores y códigos de conducta).
La organización debe establecer e implementar los procedimientos que considere adecuados para
apoyar la gestión del compliance sociolaboral.
NOTA Se mencionan a continuación algunos aspectos sobre los que la organización puede reflexionar para evaluar la
necesidad de establecer un procedimiento específico o la necesidad de integración en otros procedimientos de la
organización ya existentes:
– la integración de las obligaciones de compliance en determinados procesos o documentos del día a día de la
organización, incluidos los sistemas informáticos, los formularios, los sistemas de información, los contratos y otra
documentación legal;
– la consistencia con otras funciones de revisión y el control de la organización;
– el seguimiento y medición (3.16) continuos;
– la evaluación e información (incluida la supervisión de la dirección) para asegurar que los empleados cumplen con
los procedimientos;
– las disposiciones específicas para identificar, informar y comunicar a niveles superiores casos de no cumplimientos
de compliance y riesgos de no cumplimientos de compliance.
El anexo A proporciona orientación adicional sobre los posibles controles que puede implementar una
organización.
8.3 Diligencia debida

La organización debe realizar un análisis con el fin de identificar aquellas actividades en cuyo ámbito
puedan materializarse riesgos de compliance sociolaboral que deban prevenirse, y hacerlo de acuerdo
con el apartado 4.5 de esta norma.
La organización debe valorar la naturaleza y el alcance de dichos riesgos, contemplando, si lo considera

necesario, la realización de procedimientos de diligencia debida.
Los procedimientos de diligencia debida deben actualizarse convenientemente y mantenerse como

información documentada (7.5). El informe resultante debe quedar igualmente documentado.
La diligencia debida establecida por la organización debe abordar, al menos los riesgos derivados, si
aplica, de los siguientes procesos o actividades:
– acceso al empleo, contratación e incorporación de personal;
– aplicación de políticas retributivas y no retributivas al desempeño del personal;
– evaluaciones (sistemas y criterios) periódicas o puntuales del desempeño del personal;
– suspensión, total o parcial, e interrupción de la relación laboral;
– procesos relacionados con las modificaciones de las condiciones del empleo;
– aplicación de horarios de trabajo, descanso y vacaciones;
30/11/2023
UNE 19604:2023 - 34 -
– procesos disciplinarios y/o de cese, extinción (individuales o colectivos);
– negociación colectiva y libertad sindical;
– ejecución de obligaciones en materia de Seguridad Social.
8.4 Implementación de controles en entidades bajo control de la organización y en

otras entidades no controladas pero vinculadas a ella
8.4.1 Entidades bajo control

En aquellas entidades bajo control de la organización, ésta debe implantar procedimientos que
garanticen que las primeras adopten:
a) el sistema de gestión del compliance sociolaboral de la organización, o
b) sus propios sistemas de gestión del compliance sociolaboral pero que respondan, en líneas
generales, a los de la organización.
En cualquier caso, dichos procedimientos deben adoptarse siempre y cuando resulte razonable y
proporcionado en relación con el riesgo de compliance sociolaboral al que la entidad controlada se
encuentre expuesta, de acuerdo con la evaluación indicada en el apartado 4.5 de esta norma.
NOTA Una organización ejerce el control sobre otra cuando, directa o indirectamente, controla su gestión, en la medida en
que:
– posea la mayoría de los derechos de voto;
– tenga la facultad de nombrar o destituir a la mayoría de los miembros del órgano de gobierno;
– pueda disponer, en virtud de acuerdos celebrados con terceros, de la mayoría de los derechos de voto, o
– haya designado con sus votos a la mayoría de los miembros del órgano de gobierno.
8.4.2 Entidades no controladas por la organización

En relación con las entidades sobre las que la organización no tiene control, pero sí algún tipo de
vinculación y para aquellas entidades para las que sea pertinente teniendo en cuenta los resultados de
la evaluación de riesgos de compliance sociolaboral, la organización debe considerar:
a) Evaluar, en la medida de lo posible, si los controles implantados por aquellas son suficientes para
evitar, detectar o gestionar, adecuadamente, la exposición al riesgo de compliance sociolaboral.
b) Si no existen controles previamente implantados o no se conocen:
– Requerir mayor información o la implementación de controles que mitiguen sus riesgos de

– En caso de no resultar posible la implementación de tales controles, considerar este hecho, en la

evaluación del riesgo de compliance sociolaboral que conlleva desarrollar operaciones con ellas,
analizando las distintas opciones para evitarlo o gestionarlo.
30/11/2023
- 35 - UNE 19604:2023
En cualquier caso, dichos procedimientos (3.28) deben adoptarse siempre y cuando resulte razonable y
proporcionado en relación con el riesgo de compliance sociolaboral al que la entidad no controlada se
encuentre expuesta y su posible repercusión sobre la organización, de acuerdo con la evaluación
indicada en el apartado 4.5 de esta norma.
NOTA Se entenderá por vinculación mantener algún tipo de presencia en los órganos de gobierno de la organización sin que
signifique control.
8.5 Condiciones contractuales

La organización debe requerir cláusulas específicamente orientadas a reducir el riesgo de compliance
sociolaboral en sus relaciones contractuales con socios de negocio para aquellas entidades en las que
resulte pertinente teniendo en cuenta los resultados de la evaluación de riesgos de compliance
sociolaboral, con la finalidad de evitar una posible derivación de responsabilidad sociolaboral por
obligaciones del tercero.
8.6 Planteamiento de inquietudes

La organización debe establecer, implementar y mantener un proceso para permitir que se informe (en
caso de que haya motivos razonables para pensar que la información es cierta) sobre los intentos de
infracción, las infracciones supuestas o reales de la política o de las obligaciones de compliance
sociolaboral.
Este proceso debe:
– ser visible y accesible en toda la organización;
– tratar los informes de forma confidencial;
– aceptar los informes anónimos;
– proteger de las represalias a los informantes;
– permitir que el personal reciba asesoramiento.
La organización debe asegurarse de que el personal sea debidamente informado y tome conciencia de
los procedimientos de información, sus derechos y protección y de que pueden usarlos.
Se deben tratar todas las inquietudes recibidas.
NOTA 1 Para trasladar las inquietudes, pueden emplearse los canales de denuncias que la organización tenga previstos.
NOTA 2 Para información adicional sobre sistemas de gestión de los canales de denuncia, véase la Norma ISO 37002 [6].
8.7 Procesos de investigación

La organización debe desarrollar, establecer, implementar y mantener procesos para valorar, evaluar,
investigar y resolver los casos, supuestos o reales, de no cumplimiento de compliance sociolaboral. Estos
procesos deben asegurar que la toma de decisiones es justa e imparcial.
30/11/2023
UNE 19604:2023 - 36 -
Los procesos de investigación deben realizarse de forma independiente y sin ningún conflicto de
intereses por parte del personal competente.
Para ello, la organización debe:
– usar los resultados de las investigaciones para la mejora del sistema de gestión del compliance
sociolaboral cuando corresponda (véase el capítulo 10);
– adoptar las medidas adecuadas y proporcionadas en caso de verificación de incumplimientos;
– garantizar que se dispone de recursos con capacidad, autonomía e independencia para realizar las
investigaciones pertinentes y que todas las áreas o funciones de la organización, si son requeridas,
colaboren con ellos;
– informar regularmente sobre el número y los resultados de las investigaciones al órgano de gobierno,
a la alta dirección y al órgano de compliance sociolaboral;
– conservar la información documentada sobre la investigación.
9 Evaluación del desempeño
9.1 Seguimiento, medición, análisis y evaluación
9.1.1 Generalidades
La organización debe realizar seguimiento del sistema de gestión del compliance sociolaboral para
asegurar que se alcanzan sus objetivos, así como evaluar su desempeño y eficacia.
Para ello, debe determinar:
– qué debe ser objeto de seguimiento y qué es necesario medir;
– los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar
resultados válidos;
– cuándo se deben llevar a cabo el seguimiento y la medición;
– cuándo se deben analizar y evaluar los resultados del seguimiento y la medición.
La información documentada para proporcionar evidencia de los resultados debe estar disponible.
La organización debe evaluar el desempeño del compliance sociolaboral y la eficacia del sistema de
gestión del compliance sociolaboral.
9.1.2 Fuentes de valoración sobre el desempeño del compliance sociolaboral

La organización debe establecer, implementar, evaluar y mantener procesos para valorar el desempeño
del sistema de gestión del compliance sociolaboral utilizando las fuentes que considere pertinentes.
30/11/2023
- 37 - UNE 19604:2023
La información recibida debe analizarse y evaluarse para identificar la causa que da origen a los no
cumplimientos de compliance sociolaboral, sirviendo como fuente de mejora continua, así como para la
evaluación periódica de riesgos sociolaborales.
9.1.3 Desarrollo de indicadores

La organización debe desarrollar, implementar y mantener un conjunto de indicadores adecuados que
le ayuden a evaluar, tanto el logro de sus objetivos de compliance sociolaboral, como de su desempeño.
El establecimiento de dichos indicadores debe tener en cuenta los resultados de la evaluación de riesgos
sociolaborales, para asegurarse que están relacionados con los que afronta la organización.
9.1.4 Informes de compliance sociolaboral

La organización debe establecer, implementar y mantener procesos para proporcionar información en
materia de compliance sociolaboral con el fin de asegurar que:
– se definen los criterios adecuados para la presentación de informes;
– se establecen plazos para la presentación periódica de informes;
– se implementa un sistema de informes de excepciones que facilita información ad hoc;
– se implementan sistemas y procesos para asegurar la exactitud e integridad de la información;
– se facilita una información exacta y completa a las funciones o áreas de la organización apropiadas,
para permitir que se adopten acciones preventivas y correctivas de manera oportuna.
Cualquier informe emitido por la función de compliance sociolaboral para el órgano de gobierno, la alta
dirección o el órgano de compliance debe protegerse adecuadamente de modificaciones.
NOTA 1 Los informes de compliance pueden incluir:
– cualquier materia sobre la que la organización deba notificar a cualquier autoridad reguladora;
– los cambios en las obligaciones de compliance, en su impacto en la organización y las propuestas para cumplir con
las nuevas obligaciones;
– la medición del desempeño del compliance, que incluye los no cumplimientos de compliance y la mejora continua;
– el número y los detalles de posibles no cumplimientos de compliance y su análisis subsiguiente;
– las acciones correctivas adoptadas;
– la información sobre la eficacia del sistema de gestión del compliance, sus logros y tendencias;
– los contactos y el desarrollo de las relaciones con los reguladores;
– los resultados de las auditorías, así como de las actividades de seguimiento.
NOTA 2 Mientras que los informes de problemas sistémicos y recurrentes son particularmente importantes, un no
cumplimiento de compliance puntual puede ser igualmente preocupante si es grave o deliberado. Incluso un fallo
pequeño puede indicar una gran debilidad en los procesos actuales y en el sistema de gestión del compliance. Si no se
informa sobre él oportunamente, puede llevar a pensar que el fallo no importa y puede dar lugar a que dicho fallo se
convierta en un problema sistémico.
30/11/2023
UNE 19604:2023 - 38 -
9.1.5 Mantenimiento de registros

Se deben mantener registros, exactos y actualizados, de las actividades de compliance sociolaboral de la
organización, con objeto de ayudar en los procesos de seguimiento y revisión, y para demostrar la
conformidad con su sistema de gestión del compliance sociolaboral.
9.2 Auditoría interna
9.2.1 Generalidades
La organización debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar
información acerca de si:
– el sistema de gestión del compliance sociolaboral cumple, tanto con los requisitos que se ha dotado,
como los de este documento;
– se implementa y mantiene eficazmente.
NOTA La auditoría interna puede ser realizada por la propia organización o mediante contratación a terceros.
9.2.2 Programa de auditoría interna

La organización debe planificar, establecer, implementar y mantener programas de auditoría interna
que incluyan la frecuencia, los métodos, responsabilidades, requisitos de planificación e informes,
considerando a la hora de establecer los programas de auditoría interna la importancia de los procesos
involucrados y los resultados de las auditorías previas.
– para cada auditoría, definir los criterios, los objetivos y su alcance;
– seleccionar los auditores y asegurarse de la objetividad y la imparcialidad del proceso;
– asegurarse de que los resultados de las auditorías se comunican a los directivos pertinentes y a la
dirección.
NOTA 1 La dirección pertinente puede incluir la función de compliance, la alta dirección y el órgano de gobierno.
La información documentada para proporcionar evidencia de la implementación del programa de

auditoría y de los resultados de las auditorías debe estar disponible.
NOTA 2 Es importante que el alcance de la auditoría sea razonable, y proporcionado, se realice con un enfoque basado en el
riesgo, incluya la revisión de procedimientos, controles y sistemas destinados a detectar indicios de: materialización
de riesgos sociolaborales; no conformidades (3.20) relacionadas con la política de compliance sociolaboral;
debilidades o posibilidades de mejora en la política de compliance sociolaboral.
NOTA 3 La Norma ISO 19011 contiene directrices para la auditoría de los sistemas de gestión.
30/11/2023
- 39 - UNE 19604:2023
9.3 Revisión
9.3.1 Revisión por el órgano de compliance sociolaboral

Como resultado de las actividades de supervisión, el órgano de compliance sociolaboral debe evaluar de
forma periódica si el sistema de gestión:
a) es adecuado para gestionar eficazmente los riesgos de la organización, y
b) está siendo eficazmente implementado.
El órgano de compliance sociolaboral debe informar al órgano de gobierno y a la alta dirección, o a una
comisión o comité delegado de éstos, a intervalos planificados o siempre que sea necesario, sobre la
adecuación e implementación del sistema de gestión del compliance sociolaboral, incluyendo los
resultados de las investigaciones y las auditorías.
La organización debe conservar información documentada como evidencia de los resultados de las
revisiones realizadas por el órgano de compliance sociolaboral.
NOTA 1 La frecuencia de los informes dependerá de los requisitos de la organización, pero se recomienda que sea, al menos,
anual.
NOTA 2 Una organización puede servirse de otra organización para asistir en la revisión, siempre que sus observaciones sean
comunicadas de forma apropiada al órgano de compliance sociolaboral.
9.3.2 Revisión por la alta dirección

Con base en información remitida por el órgano de compliance en materia sociolaboral sobre la
adecuación e implementación del sistema de gestión del compliance, incluyendo los resultados de las
investigaciones y las auditorías, la alta dirección debe realizar, a intervalos planificados, una revisión
del sistema de gestión del compliance sociolaboral de la organización.
Esta revisión debe considerar:
a) el estado de las acciones de las revisiones por la dirección previas;
b) los cambios en las cuestiones externas e internas que afecten al sistema de gestión del compliance
sociolaboral;
c) la información sobre el desempeño del compliance sociolaboral, incluidas las tendencias relativas a:
– no conformidades y acciones correctivas,
– seguimiento y resultados de las mediciones,
– resultados de la auditoría,
– investigaciones,
– denuncias,
– análisis de informes de compliance sociolaboral,
30/11/2023
UNE 19604:2023 - 40 -
– comunicaciones relacionadas con las partes interesadas, incluyendo las reclamaciones,
– la naturaleza y la extensión del riesgo en materia sociolaboral de la organización,
d) las oportunidades de mejora continua, tanto de la política, como del resto del sistema de compliance
sociolaboral;
e) la adecuación de los protocolos o procedimientos de compliance sociolaboral;
f) el grado en el que se han cumplido los objetivos de compliance sociolaboral;
g) la adecuación de los recursos asignados al compliance sociolaboral;
h) la eficacia de las acciones adoptadas para gestionar los riesgos en materia sociolaboral y las
oportunidades.
El resultado de la revisión realizada por la dirección debe incluir las decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambio, tanto en la política como en el resto
del sistema de gestión del compliance sociolaboral.
Debe incluir también decisiones acerca de:
1) la necesidad de cambios en las políticas, procedimientos o controles asociados al sistema de gestión

del compliance sociolaboral;
2) cambios de los procesos y procedimientos relacionados con el compliance sociolaboral para

asegurar su integración eficaz con las prácticas operacionales y sistemas de la organización;
3) áreas sobre las que hacer seguimiento de no conformidades futuras potenciales;
4) acciones correctivas respecto a las no conformidades detectadas;
5) lagunas o carencias en la política o en el resto del sistema de gestión del compliance sociolaboral e
iniciativas de mejora continua, tanto a corto como a medio y largo plazo;
6) reconocimiento de comportamientos ejemplares relacionados con la política de compliance

sociolaboral de la organización.
La organización debe conservar información documentada como evidencia de los resultados de las
revisiones realizadas por la dirección, debiéndose facilitar una copia al órgano de gobierno.
NOTA La revisión del sistema de compliance sociolaboral realizado por la alta dirección ha de entenderse como el proceso por
el cual, con base en el resultado de la revisión del sistema de compliance sociolaboral realizado por el órgano de
compliance sociolaboral, la alta dirección analiza la información disponible y adopta las decisiones oportunas para la
efectiva implantación y ejecución de los controles y medidas necesarios para el adecuado funcionamiento del sistema
de compliance sociolaboral en la organización.
9.3.3 Revisión por el órgano de gobierno

El órgano de gobierno se debe encargar de examinar periódicamente el sistema de gestión del
compliance sociolaboral con base en la información proporcionada por el órgano de compliance
sociolaboral, la alta dirección y cualquier otra información que el órgano de gobierno pueda solicitar u
obtener.
30/11/2023
- 41 - UNE 19604:2023
La organización debe conservar el resumen de la información documentada como evidencia de los

resultados de las revisiones del órgano de gobierno.
10 Mejora
10.1 Mejora continua

La organización debe mejorar, continuamente, la idoneidad, adecuación y eficacia del sistema de gestión
del compliance sociolaboral.
10.2 No conformidades o no cumplimientos y acciones correctivas

Cuando ocurra una no conformidad o un no cumplimiento de compliance sociolaboral, la organización
debe:
– reaccionar ante los mismos y, según sea aplicable:
1) tomar acciones para su control y corrección;
2) hacer frente a las consecuencias;
– evaluar la necesidad de acciones para eliminar las causas de la no conformidad y/o no cumplimiento,
o ambas, con el fin de que no vuelva a ocurrir ni ocurra en otra parte, mediante:
1) la revisión de la no conformidad y/o no cumplimiento;
2) la determinación de las causas de estos últimos;
3) la determinación de si existen otros otras no conformidades y/o no cumplimientos de

compliance sociolaboral similares, o que, potencialmente, podrían ocurrir;
– implementar cualquier acción necesaria;
– revisar la eficacia de las acciones correctivas tomadas;
– si es necesario, hacer cambios en el sistema de gestión del compliance sociolaboral.
Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades y/o no
cumplimientos encontrados.
Debe estar disponible la información documentada para proporcionar evidencia de:
– la naturaleza de las no conformidades y/o no cumplimientos y, así como cualquier acción tomada
posteriormente;
– los resultados de cualquier acción correctiva.
30/11/2023
UNE 19604:2023 - 42 -
11 Bibliografía
[1] ISO 45001, Occupational health and safety management systems. Requirements with guidance for
use.
[2] ISO 45002, Occupational health and safety management systems. General guidelines for the
implementation of ISO 45001:2018.
[3] ISO 45003, Occupational health and safety management. Psychological health and safety in the
workplace. Guidance.
[4] UNE-ISO 37301, Sistemas de gestión del compliance. Requisitos con orientación para su uso.
[5] ISO 37001, Sistemas de gestión antisoborno. Requisitos con orientación para su uso.
[6] UNE-ISO 37002, Sistemas de gestión de la denuncia de irregularidades. Directrices.
[7] UNE 19601, Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.
[8] UNE 19602, Sistemas de gestión de compliance tributario. Requisitos con orientación para su uso.
[9] ISO Guide 73, Risk management. Vocabulary.
[10] ISO 31000, Risk management. Guidelines.
30/11/2023
- 43 - UNE 19604:2023
Anexo A (Informativo)
Controles
A.0 Generalidades
Los controles que establezca la organización deberían tener las siguientes características:
– claros y concretos: comprensibles para todos los miembros de la organización;
– flexibles: con capacidad de adaptación a los cambios ya sean organizativos o normativos;
– eficaces: idóneos para conseguir el objetivo propuesto;
– objetivos: que no incluyan criterios de valoración subjetivas;
– cuantificables;
– evaluables: permiten una evaluación continua de su efectividad a través de indicadores de

seguimiento y mejora.
Atendiendo a la función con la que se implantan, los controles pueden ser:
– controles preventivos (para prevenir incumplimientos);
– detectivos (para detectar incumplimientos);
– controles reactivos (para gestionar el incumplimiento una vez que se produce).
EJEMPLO 1 Control preventivo: protocolo de prevención del acoso sexual.
EJEMPLO 2 Control detectivo: canal de denuncias para la prevención del acoso sexual.
EJEMPLO 3 Control reactivo: sanción laboral y/o acción de formación de refuerzo.
A.1 Ejemplos de controles

La tabla 1 recoge ejemplos de controles y de medidas concretas que permiten reducir los riesgos de de
compliance en los distintos ámbitos de las obligaciones sociolaborales.
30/11/2023
UNE 19604:2023 - 44 -
Tabla 1 – Ejemplos de controles y medidas
El ejercicio de los derechos constitucionales en la organización y, en particular, de los relativos a:

Ámbito Controles Ejemplos de medidas concretas
La igualdad y la no Política de igualdad y diversidad Vigilancia a través de comisión
discriminación de seguimiento
Procedimiento contra el acoso sexual y por Vigilancia a través de una
razón de sexo comisión de seguimiento
Prácticas/reglas para el uso de lenguaje no Guía sobre lenguaje inclusivo
sexista
Formación/sensibilización/ejemplificación Formación (presencial o en
remoto) programada y periódica
Protocolo antidiscriminación Empleo de C. V. ciego en los
procesos de selección
Controles de frente a la
discriminación algorítmica y
derivados de sistemas de
Inteligencia Artificial
La tutela de colectivos Controles para el cumplimiento en relación Medidas de adaptación al puesto
especialmente vulnerables, con colectivos especialmente vulnerables de trabajo, incluyendo
con especial atención a la herramientas informáticas para
discapacidad. accesibilidad informática, por
ejemplo.
La relación individual de trabajo y, en particular:
El acceso al empleo Políticas en los procesos de selección y Establecimiento de medidas de
contratación acción positiva
Controles para el cumplimiento

de la normativa de protección de
datos personales
Adecuada asignación de funciones y Controles para garantizar la
descripción de puestos de trabajo transparencia de los procesos
Manual de puestos y mapa de

competencias.
Controles onboarding Registros de formación. Acuse de
recibo de las políticas
corporativas
Clasificación profesional y promoción interna Informes de selección o
promoción que permitan
asegurar que el respeto al
principio de igualdad y no
discriminación
Las modalidades Tipología de contratos Adecuación de la causa a las
contractuales modalidades contractuales
Los derechos y deberes Controles sobre formación profesional del Formación (presencial u online)
laborales básicos personal programada y periódica
30/11/2023
- 45 - UNE 19604:2023
El salario Controles retribuciones Auditorías retributivas

registros salariales
El tiempo de trabajo Controles sobre el tiempo de trabajo Protocolos de acoso laboral
Plan de igualdad
Registro horario.
Garantía derechos digitales, Controles uso de medios informáticos, Protocolos de uso de medios
uso de medios informáticos, digitalización tecnológicos
digitalización Protocolos sobre desconexión
La prestación laboral y el Controles modo de prestación y lugar de Políticas de conciliación y
lugar de trabajo; trabajo corresponsabilidad
Políticas de diversidad
Política de teletrabajo o trabajo a
distancia
Relaciones colectivas de trabajo
La libertad sindical Controles para el cumplimiento del derecho de Medidas para dotar de
libertad sindical efectividad el cumplimiento de
las medidas adoptadas
La información, la consulta Controles para el cumplimiento de la Medidas para dotar de
y la participación de los normativa de representación de los efectividad el cumplimiento de
representantes de los trabajadores en la organización las medidas adoptadas
trabajadores.
Las medidas de conflicto Controles en materia de conflicto colectivo y Medidas para dotar de
colectivo de trabajo derecho de huelga efectividad el cumplimiento de
La negociación colectiva Controles en materia de negociación Medidas para dotar de
laboral efectividad el cumplimiento de
La protección social
Seguridad Social Controles para el cumplimiento en materia de Auditorías periódicas sobre
Seguridad Social encuadramiento y cotización
Las mejoras voluntarias Controles para el cumplimiento de las mejoras Medidas para dotar de
voluntarias efectividad el cumplimiento de
Los sistemas de previsión Controles para el cumplimiento de los sistemas Medidas para dotar de
social complementaria de previsión social complementaria efectividad el cumplimiento de
Actividades con socios de negocio que generan riesgo para la organización
Actividades con socios de Controles para el cumplimiento de actividades Protocolos y auditorías del
negocio que generan riesgo con socios de negocio que generan riesgo para cumplimiento normativo
para la organización la organización sociolaboral de terceros
30/11/2023
Para información relacionada con el desarrollo de las normas contacte con:
Asociación Española de Normalización
Génova, 6
28004 MADRID-España
Tel.: 915 294 900
info@une.org
www.une.org
Para información relacionada con la venta y distribución de las normas contacte con:
AENOR INTERNACIONAL S.A.U.
Tel.: 914 326 000
normas@aenor.com
www.aenor.com
organismo de normalización español en:
30/11/2023

N0071663 PDF Es

Cargado por

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

N0071663 PDF Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

N0071663 PDF Es

Cargado por

Copyright:

Formatos disponibles

Norma Española

Sistemas de gestión de compliance sociolaboral

Esta norma ha sido elaborada por el comité técnico

Asociación Española Calle de Génova, 6 915 294 900

Sistemas de gestión de compliance sociolaboral

Systèmes de management de la conformité socio-porfessionnel. Exigences et recommandations de mise en

Las observaciones a este documento han de dirigirse a:

Asociación Española de Normalización

1 Objeto y campo de aplicación........................................................................................7

2 Normas para consulta ......................................................................................................8

4 Contexto de la organización ....................................................................................... 14

9 Evaluación del desempeño.......................................................................................... 36

Anexo A (Informativo) Controles .......................................................................................... 43

– mejorar las oportunidades de negocio y la sostenibilidad social a través de un adecuado equilibrio

– proteger y mejorar su reputación y credibilidad;

– demostrar su compromiso en la gestión de sus riesgos de compliance sociolaboral de forma eficaz y

– incorporar la diversidad y la inclusión en la cultura de la organización prestando especial atención a

– minimizar el riesgo (3.32) de que se produzca un incumplimiento en el ámbito sociolaboral que

Y, por lo que respecta a las partes interesadas (3.26):

– tener en cuenta sus expectativas;

– aumentar su confianza en la capacidad de la organización para lograr un éxito sostenido.

Figura 1 – Elementos de un sistema de gestión del compliance [UNE-ISO 37301][4]

En este documento se utilizan las siguientes formas verbales:

– “debe” indica un requisito;

– “debería” indica una recomendación;

– “puede” indica un permiso, una posibilidad o una capacidad.

La información indicada como “NOTA” se presenta a modo de orientación para la comprensión o

1 Objeto y campo de aplicación

La norma es aplicable en el contexto de sistemas de gestión y control sobre riesgos de compliance

La norma es de aplicación a los siguientes ámbitos:

a) El ejercicio de los derechos constitucionales en la organización y, en particular, de los relativos a:

– la tutela de colectivos especialmente vulnerables, con especial atención a la discapacidad.

b) La relación individual de trabajo y, en particular:

– las modalidades contractuales;

– los derechos y deberes laborales básicos;

– la prestación laboral y el lugar de trabajo;

– la modificación de las condiciones de trabajo;

– la suspensión y las vicisitudes del contrato de trabajo;

– la extinción del contrato de trabajo.

c) Las relaciones colectivas de trabajo y, en particular, a:

– la información, la consulta y la participación de los representantes de los trabajadores;

– las medidas de conflicto colectivo de trabajo;

– la negociación colectiva laboral.

d) La protección social y, en particular, a:

– las prestaciones de la Seguridad Social;

– las mejoras voluntarias;

– los sistemas de previsión social complementaria.

e) Cualquier otra obligación sociolaboral que la organización se obligue a cumplir.

Esta norma no es aplicable al ámbito de las obligaciones en materia de prevención de riesgos

2 Normas para consulta

3.1 acción correctiva:

3.2 alta dirección:

3.5 compliance sociolaboral:

3.7 conflicto de intereses:

3.9 contratante externo:

3.10 cultura de compliance:

NOTA 1 El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.

3.12 diligencia debida: