Norma ISO 37301: Gestión de cumplimiento
La Organización Internacional de Normalización (ISO por sus siglas en inglés) publicó en abril de 2021 la nueva norma de sistemas de gestión de compliance: la norma ISO 37301, que sustituye la norma ISO 19600 y que tiene entre sus principales novedades que es certificable.
Introducción
Establecer una cultura de cumplimiento debe ser una prioridad para las organizaciones, hacerlo demuestra el compromiso que tienen para cumplir las diferentes leyes y regulaciones que le son aplicables, además de los principios de buen gobierno, ética, y transparencia.
Por eso, es clave gestionar de manera adecuada el compliance y los riesgos relacionados con este, igualmente representa varios beneficios para las organizaciones, por ejemplo, proteger su integridad, evitar o minimizar los no cumplimientos, incrementar las oportunidades de negocio y ser sostenibles.
En este contexto, la norma ISO 37301 especifica los requisitos y proporciona una guía y prácticas recomendadas para que las organizaciones establezcan, desarrollen, implementen, evalúen, mantengan y mejoren un sistema de gestión de compliance eficaz.
En el siguiente especial de la Academia Pirani te contamos lo que debes saber sobre esta nueva norma, cuáles son sus principales características, sus requisitos y los elementos a considerar para la implementación de un sistema de gestión de cumplimiento.
Características de la norma ISO 37301
De acuerdo con la Organización Internacional de Normalización (ISO), uno de los objetivos de esta norma, que reemplaza la ISO 19600 de 2014, es "ayudar a las organizaciones a desarrollar y difundir una cultura positiva de compliance, teniendo en cuenta que una gestión eficaz y sólida de los riesgos relacionados con compliance debería considerarse como una oportunidad para perseguir y aprovechar".
Así, la ISO 37301 es aplicable a cualquier tipo de organización, independientemente de su tamaño o naturaleza, incluso las empresas del sector público o sin ánimo de lucro pueden implementarla.
Adicionalmente, la norma está basada en los principios de buen gobierno, transparencia, proporcionalidad y sostenibilidad y entre otras cosas, se caracteriza por:
- Ser certificable. A diferencia de la norma ISO 19600 este estándar internacional es certificable, lo que le da a las empresas la posibilidad de demostrar de una forma explícita su compromiso con el cumplimiento de normas y regulaciones.
- Tener una estructura de alto nivel, al igual que otras normas ISO (9001 de sistemas de gestión de calidad, 14001 de gestión ambiental y 27001 de gestión de seguridad de la información), lo que permite una fácil integración con otros sistemas, por ejemplo, el sistema de gestión anticorrupción (ISO 37001). La ISO 37301 tiene una estructura de 10 capítulos.
- Ser un estándar muy flexible que puede adaptarse a los diferentes programas de cumplimiento que ya tienen las empresas, es decir, puede complementarlos y fortalecerlos. Así mismo, se adapta a cualquier marco legislativo.
- Ser el presente y futuro para los sistemas de gestión de compliance en las organizaciones porque la norma ISO 19600 queda en el pasado, ahora los oficiales de cumplimiento, profesionales del área y en general todo el personal de la empresa debería conocer e implementar tanto los requisitos como la guía propuesta por esta nueva norma.
Sistema de gestión de cumplimiento - Modelo PHVA
La norma ISO 37301 adopta el Modelo PHVA (Planificar - Hacer - Verificar - Actuar), con base en esto, los elementos que incluye un sistema de gestión de compliance son:
Como en otros sistemas de gestión, implementar este modelo PHVA en la gestión del cumplimiento es muy beneficioso para las organizaciones porque permite hacerlo de forma consciente y organizada, además, gracias a la revisión y monitoreo periódico se toman decisiones de manera oportuna para realizar ajustes e implementar las acciones de mejora que sean necesarias para que todo el personal esté alineado con los objetivos del sistema y aporte a su cumplimiento.
Estructura de la norma ISO 37301
Como se mencionó anteriormente, ISO 37301 tiene una estructura de alto nivel, lo que facilita su integración con otros sistemas. Los 10 capítulos que conforman esta nueva norma de sistemas de gestión de cumplimiento son:
A continuación abordamos algunos de los puntos más relevantes de la norma.
Contexto de la organización
En este punto, la norma indica que se debe comprender la organización y su contexto, es decir, identificar los factores internos y externos que pueden tener alguna incidencia en su operación y gestión, igualmente, se deben conocer las necesidades y expectativas de las partes interesadas en cuanto al sistema de cumplimiento.
Por otro lado, en este punto también se debe determinar el alcance (ámbito de aplicación) del sistema de gestión de compliance, así como las obligaciones de este e identificar, analizar y evaluar los riesgos relacionados con el cumplimiento de normas y regulaciones aplicables a la organización.
Liderazgo
Independiente del sistema de gestión que una organización vaya a implementar, este aspecto es de gran relevancia porque del compromiso que tenga la alta dirección depende en gran medida el buen funcionamiento de este.
En el caso del sistema de gestión de compliance, la norma ISO 37301 exige a los líderes estar comprometidos con este sistema en todas sus etapas: establecimiento, desarrollo, implementación, evaluación, mantenimiento y mejora, además, deben ser los principales responsables de definir la política de compliance de la organización.
Adicionalmente, en este punto la norma establece los roles y responsabilidades que se deben asumir como parte del sistema de gestión de cumplimiento.
Entre los roles se incluyen: órgano de gobierno, alta dirección, comité de compliance, gerentes y personal en general, que debe conocer y cumplir las obligaciones, procedimientos y políticas de compliance definidas por la empresa.
Planificación
La norma establece que es necesario tener una planificación de:
- Las acciones para abordar los riesgos y oportunidades del sistema de gestión de cumplimiento.
- Los objetivos de compliance y cómo lograrlos. Es clave que estos estén alineados con la política de compliance que define la organización, así como con las expectativas de los diferentes grupos de interés y que sean comunicados y conocidos por todo el personal.
- Los cambios para conocer oportunamente ajustes o nuevas normas y regulaciones que deban ser incluidas en el sistema.
Apoyo
Este punto de la norma se refiere a los diferentes aspectos a tener en cuenta para el logro de los objetivos propuestos y las acciones planificadas.
Así, habla de contar con los recursos necesarios para la implementación del sistema, esto es: recursos financieros, humanos y tecnológicos. En este último, por ejemplo, es recomendable contar con una solución tecnológica como Pirani y su sistema de Compliance, que permite identificar, gestionar y controlar de manera simple los riesgos de cumplimiento que se puedan presentar por no cumplir normas y regulaciones obligatorias.
La norma también destaca las competencias que debe tener el personal que estará a cargo del sistema de compliance, así como la importancia de desarrollar estrategias para que todos los miembros de la organización cumplan con lo indicado en el sistema.
La toma de conciencia, la comunicación y la información documentada son otros aspectos a considerar para que el sistema sea exitoso, por eso, son fundamentales las formaciones y capacitaciones sobre cumplimiento normativo para todo el personal (que sean de forma periódica y preferiblemente didácticas) e igualmente, la información del sistema debe estar disponible y ser de fácil acceso para todos.
Operación
Según lo que indica la norma, en este punto las organizaciones deben realizar una planificación y control operacional, deben hacerlo partiendo de los objetivos y además, definir las acciones de seguimiento.
También deben establecer los controles y procedimientos de compliance, teniendo en cuenta que estos deben ser revisados y actualizados constantemente para garantizar la prevención o mitigación de los riesgos de cumplimiento que han sido identificados.
Y también deben definir e implementar los canales para el planteamiento de dudas o denuncias relacionadas con el cumplimiento de las normativas.
Por último, en este punto las empresas deben establecer el proceso de investigación que llevarán a cabo para evaluar y conocer detalles de los posibles casos de incumplimiento que puedan presentarse.
Evaluación del desempeño
Para conocer el desempeño del sistema de gestión de compliance, ISO 37301 señala que las organizaciones deben realizar seguimiento, medición, análisis y evaluación de forma periódica al sistema, por eso, es necesario que definan los métodos que utilizarán para hacerlo y los indicadores a considerar para medir su desempeño.
Del mismo modo, en este punto la norma indica que se deben desarrollar programas de auditoría interna y que por parte de la dirección se realice una revisión del sistema de cumplimiento.
Mejora
En este último punto de la estructura de la norma, como en cualquier otro sistema de gestión, lo que se busca es la mejora continua, por eso aquí se deben definir las acciones correctivas que se ejecutarán para corregir y superar las no conformidades o brechas que se identifiquen en el sistema a partir de las evaluaciones o los procesos de auditoría interna.
La mejora continua también permite la adaptación y actualización del sistema al contexto cambiante en el que se mueven las organizaciones.
Beneficios de implementar la norma ISO 37301
Entre los beneficios que tiene para las organizaciones implementar un sistema de gestión de cumplimiento a partir de la norma ISO 37301, la Organización Internacional de Normalización destaca:
- Mejores oportunidades de negocio y sostenibilidad.
- Protección y mejoramiento de la reputación y credibilidad de la empresa.
- Compromiso con la gestión de sus riesgos de compliance de forma eficaz y eficiente.
- Mayor confianza de terceras partes en la capacidad de la organización de lograr un éxito sostenido.
- Menor riesgo de que ocurra una infracción que signifique costos y daños a la reputación.
Adicional a estos beneficios, la organización puede mejorar su imagen y fortalecer su posición y reconocimiento en el mercado porque como lo mencionamos en este especial, tener un sistema de gestión de compliance facilita en muchos aspectos el cumplimiento de todas las obligaciones que le apliquen (legales, contractuales, gubernamentales, etc.).