La International Organization for Standardization (ISO) publicó en el mes de abril de 2021 la norma ISO 37301 de sistemas de gestión de cumplimiento. Se trata de una norma en la que se llevaba trabajando desde 2018 y que sustituye a la ISO 19600:2014, referente hasta ese momento para la implementación de sistemas de gestión de cumplimiento.

En este sentido, la norma ISO 37301 emerge como una herramienta fundamental para establecer un Sistema de Gestión de Compliance eficiente. En esta guía, exploraremos en detalle qué es la norma ISO 37301 y qué implica su implementación.

De la ISO 19600 a la ISO 37301: Principales novedades y diferencias

En un mundo empresarial cada vez más complejo y regulado, la gestión de compliance se ha convertido en una prioridad para las organizaciones que buscan operar de manera ética, responsable y en cumplimiento de las leyes y regulaciones vigentes. 

En este escenario, nace la normativa ISO 37301, después de que su publicación fuera pospuesta en varias ocasiones debido a la pandemia provocada por el Covid-19. Este estándar en sistemas de gestión de Compliance sirve para que las empresas puedan certificarse, de esa forma adaptarse a las nuevas regulaciones y legislaciones en la materia. Esta es una de las principales diferencias entre la ISO 19600 y la nueva ISO 37301. A continuación, veremos algunas más. Pero antes, definamos ambos estándares.

Similitudes y diferencias entre ISO 19600 e ISO 37301

Básicamente, ISO 37301:2021 se ha publicado para sustituir a ISO 19600. Una de las principales diferencias es que ISO 37301 es certificable y adopta la estructura propia de normativas Tipo A como ISO 9001, ISO 45001 e ISO 27001. En cambio, ISO 19600 está formada por recomendaciones.

Otra diferencia importante es que el nuevo estándar es certificable, de forma que las empresas puedan verificar que se ha implementado un buen SGC mediante un tercero independiente.

El principal objetivo del ISO es que las empresas hagan una migración de ISO 19600 a ISO 37301, de forma que sus sistemas de Compliance pasen a ser certificables. Las empresas que hayan seguido las directrices de la ISO 19600, independientemente de la versión, no deberían tener problemas para poder hacer una transición eficiente.

ISO 37301: Para qué sirve la nueva norma en Compliance

Como explica el propio texto de la norma, ISO 37301:2021 tiene entre sus objetivos “ayudar a las organizaciones a desarrollar y difundir una cultura positiva de cumplimiento, considerando que una gestión eficaz y sólida de los riesgos relacionados con el cumplimiento debe ser considerada como una oportunidad para perseguir y aprovechar, debido a los diversos beneficios que proporciona a la organización”.

Se trata, además, de una norma adaptable y aplicable a cualquier tipo de organización. Como indica el documento “independientemente del tipo, tamaño y naturaleza de la actividad, así como de si la organización es del sector público, privado o sin fines de lucro”.

Por otro lado, la introducción de la nueva ISO 37301 también deja claro que el estándar en Compliance podrá servir de referencia a los órganos reguladores y judiciales. Y es que, como señala, en varias jurisdicciones, “los tribunales han considerado el compromiso de una organización con el cumplimiento a través de su sistema de gestión del cumplimiento a la hora de determinar una sanción por infracciones de las leyes pertinentes”.

Contar con este documento ayudará a muchas organizaciones a prevenir riesgos de incumplimiento. Estos riesgos pueden ocasionar sanciones y pérdidas reputacionales para aquellas empresas u organizaciones que no cumplan con las leyes y códigos éticos del contexto en los que operan.

Beneficios de la implementación de la ISO 37301

Aunque ya hemos mencionado algunas, veamos de manera más detallada las ventajas de implementar la norma ISO 37301 del sistema de gestión de compliance.

• Gestión Eficaz del Riesgo Legal y Reputacional. La implementación de un Sistema de Gestión de Compliance conforme a la ISO 37301 permite a las organizaciones identificar y gestionar de manera proactiva los riesgos legales y reputacionales, reduciendo la posibilidad de enfrentar sanciones legales o daños a la reputación.
• Cultura de Cumplimiento Organizacional. La norma promueve la creación de una cultura de cumplimiento arraigada en todos los niveles de la organización, fomentando la ética y el comportamiento responsable entre los empleados y la alta dirección.
• Eficiencia Operativa. La implementación de procesos de cumplimiento bien definidos mejora la eficiencia operativa al reducir la incertidumbre y facilitar la toma de decisiones informadas.
• Mejora de Relaciones con Stakeholders. El cumplimiento normativo sólido y demostrable puede mejorar las relaciones con los stakeholders, incluidos los clientes, proveedores, inversores y reguladores, generando confianza y credibilidad.
• Innovación Responsable. La ISO 37301 también puede fomentar la innovación responsable al impulsar a las organizaciones a considerar los impactos éticos y legales de nuevas iniciativas y productos desde su concepción.

Estructura de la norma

Esta norma ISO en Compliance cuenta en total con 10 capítulos y un anexo con hasta 10 apartados más.

Sigue una estructura similar a la mayoría de las normas ISO basadas en el Anexo SL, que es una estructura común de alto nivel para todas las normas de sistemas de gestión. 

La estructura consta de las siguientes secciones: 

1. Alcance: Esta sección define el alcance de la norma y establece a quién se aplica y qué procesos y actividades están dentro de su alcance.
2. Referencias normativas: En esta sección, se listan las referencias a otros estándares o documentos que son relevantes para la implementación de la norma.
3. Términos y definiciones: Aquí se proporcionan los términos y definiciones clave utilizados en la norma, lo que asegura una comprensión uniforme de los conceptos involucrados.
4. Contexto de la organización: Esta sección aborda cómo una organización debe considerar su contexto interno y externo al establecer su Sistema de Gestión de Compliance. Esto incluye identificar a los stakeholders relevantes y comprender los factores que pueden afectar el cumplimiento.
5. Liderazgo y compromiso: En esta sección, se establecen los requisitos para la dirección de la organización, incluida la alta dirección, para demostrar liderazgo y compromiso con el Sistema de Gestión de Compliance.
6. Planificación: Aquí se tratan los aspectos de planificación del Sistema de Gestión de Compliance, como la evaluación de riesgos y oportunidades relacionados con el cumplimiento y la definición de acciones para abordarlos.
7. Soporte: Esta sección trata sobre los recursos necesarios para implementar y mantener el Sistema de Gestión de Compliance, incluyendo la asignación de roles y responsabilidades, la formación y la comunicación.
8. Operación: En esta sección se abordan los aspectos operativos del Sistema de Gestión de Compliance, como el desarrollo de políticas y procedimientos, la implementación de controles y la gestión de la documentación.
9. Evaluación del desempeño: Aquí se tratan los requisitos relacionados con la evaluación continua del desempeño del Sistema de Gestión de Compliance, incluyendo la realización de auditorías internas y la revisión por la dirección.
10. Mejora: La última sección se refiere a cómo la organización debe identificar oportunidades de mejora en su Sistema de Gestión de Compliance y tomar acciones para implementar cambios y seguir avanzando.

Anexo A: Orientación para el uso de este documento

Como vemos, la estructura de ISO 37301 es similar a la de otros sistemas de gestión, por tanto, la aplicación de la norma es aplicable a otras ISO, como ISO 9001 o ISO 31000, por ejemplo.

Si quieres acceder a ella, puedes hacerlo desde la propia web de ISO. Tiene un coste aproximado de 170 dólares. Aún así, es posible acceder gratuitamente a los capítulos informativos.

15 conceptos para implementar la ISO 37301 de Compliance

Cuando una organización quiere implementar la ISO 37301 en Compliance con la finalidad de mejorar en ese ámbito y, además, poder certificarse, es necesario tener en cuenta una serie de conceptos. Esta nueva normativa busca convertirse en un estándar internacional para los sistemas de gestión de compliance.

Estos factores, que serán la base para implementar al sistema de gestión de compliance con mayor eficiencia, son:

1. Conocer el contexto de la empresa, la ubicación geográfica, qué regulaciones hay en la zona o en el sector, tamaño de la organización.
2. Definir las partes o grupos interesados, desde clientes o usuarios, socios, directores, dueños y proveedores.
3. Crear y establecer una cultura ética, con la finalidad de que toda la organización vaya en la misma dirección en cuanto al cumplimiento de regulaciones y leyes a las que está sujeta.
4. Liderazgo hacia el cumplimiento por parte de la alta dirección.
5. Roles y responsabilidades de cada empleado de la empresa, para que toda la organización logre los mismos objetivos en Compliance.
6. Políticas de Compliance, como base para implementar correctamente el SGC. Puede haber varias: política anticorrupción, política de recursos humanos, política de whistleblowing, etc.
7. Designación de un órgano de cumplimiento, que se encargue del cumplimiento dentro de la empresa.
8. Realizar un monitoreo extra al personal especialmente expuesto o con mayor vulnerabilidad. Normalmente, estas son quienes están en la cabeza del negocio y que son quienes podrían provocar un incumplimiento, en ocasiones, sin darse ni cuenta.
9. Procesos de Debida Diligencia para conocer a los terceros con los que la empresa se relaciona. Es muy importante en el ámbito del cumplimiento conocer bien con quién está trabajando y asegurarse que estas colaboraciones no supondrán ningún contratiempo para la organización.
10. Identificación y evaluación de riesgos en el ámbito de cumplimiento de cada una de las áreas y procesos que la empresa lleva a cabo.
11. Definición de acciones y controles para mitigar los riesgos identificados durante la evaluación de estos. Se pueden usar documentos ya publicados, pero es aconsejable que cada organización realice los propios, definidos de acuerdo a las necesidades.
12. Cláusulas contractuales, que servirán para apoyar los procesos de Debida Diligencia y así evitar posibles problemas provocados por sanciones.
13. Implementación de canales de denuncias o whistleblowing dentro de la organización.
14. La formación es uno de los pilares más importantes dentro de la gestión del Compliance.
15. Reportes e informes para conocer en qué situación se encuentra la organización, si hay actividades ilícitas o bien alguna sospecha. Con los reportes se busca evitar la mala praxis y futuros problemas legales que puedan tener una fuerte repercusión en la empresa.

Qué responsabilidades deberás asumir como experto en ISO 37301:2021 del Sistema de Gestión de Compliance

Si has decidido especializarte en compliance y, concretamente en la implementación de Iso 37301, debes saber que, como profesional, deberás asumir ciertas responsabilidades.

Piensa que estamos ante un tema delicado, pues está ligado a estándares, leyes, regulaciones y la ética gubernamental.

Veamos qué aspectos deberás tener en cuenta para que tu labor de gestión en las empresas sea impecable.

Programa de cumplimiento

Lo primero que deberás hacer como responsable de cumplimiento o compliance officer es lanzar una política de cumplimiento. Es decir, una política a través de la cual la empresa se compromete a seguir las pautas establecidas por la norma ISO 37301.

Es importante destacar que cada programa de cumplimiento es único, ya que responde a las áreas de riesgos concretas de cada corporación. Por ello, deberás conocer al detalle la organización y trabajar alineado con el resto de departamentos o áreas.

Código de conducta

La ISO 37301 del Sistema de Gestión de Compliance busca establecer un código de conducta concreto.

Estamos ante una guía que establece cómo se debe comportar la empresa, abogando siempre por la ética de la organización y la mejoría de las prácticas corporativas.

Este tema también será tu responsabilidad. Por ello, te recomendamos tener siempre a mano el texto que ofrecen certificadoras como Aenor Perú sobre ISO 37301.

Canales de denuncia

Prometer cumplir un código de conducta no es suficiente. Hay que abrir canales de denuncia para alertar de las malas prácticas. De nuevo, te tocará implementarlos si no existen.

Las infracciones, las actividades sospechosas, el tráfico de influencias, los sobornos… Todo ello será denunciado a través de estos canales. En definitiva, cualquier elemento que ponga en riesgo la gestión corporativa.

Riesgos de incumplimiento

En caso de no cumplirse con lo pactado, se asumen ciertos riesgos. Tu labor como experto en ISO 37301 2021 será evitarlos a toda cosa. Las infracciones y las violaciones de determinadas directrices del estándar deben derivar en sanciones.

Aunque también se debe incentivar a seguir dicha regulación. Los premios son una buena forma de hacerlo.

Capacitación para los empleados

Exigir un cumplimiento sin enseñar las normas previamente es inviable. Por lo tanto, toca capacitar a la plantilla. Momento en el que entran en juego las formaciones por equipos.

Cada departamento tendrá sus propios protocolos específicos. Así que diseña cursos concretos para los diferentes trabajadores.  

Comunicación

Para que todo lo comentado hasta el momento cale, debe haber una buena comunicación interna. Es básico compartir los objetivos de cumplimiento, las políticas y los riesgos. Debes asegurarte de ello.

Eso sí, adopta un lenguaje sencillo y coherente para evitar fallos en el proceso.

Auditoría y certificación

La evaluación de la ISO 37301 2021 es esencial. Todo programa de cumplimiento se debe medir y supervisar para sacar conclusiones veraces. 

Además, obtener la certificación del Sistema de Gestión de Compliance contribuirá a la mejora de la imagen de marca de la organización notablemente. Por todo ello, al terminar de implementar todos los protocolos para seguir esta normativa, te recomendamos someterlo al proceso de auditoría y certificación correspondiente.

Conviértete en experto ISO 37301 2021

Como habrás podido observar, ser experto en ISO 37301 2021 es una gran oportunidad laboral.

El colectivo empresarial conoce bien el rol de esta normativa en su futuro. Por lo que busca continuamente a los mejores especialistas.

En nuestro Máster en Compliance, Fraude y Blanqueo profundizamos en todos los puntos clave de la regulación en cuestión.

Matricúlate cuanto antes y da ese salto de calidad a tu carrera. Podrás desarrollarte en un sector en auge y con grandes perspectivas laborales.

¿Quieres continuar aprendiendo? Te dejamos con un vídeo relacionado:

Te dejamos este link con información sobre nuestra formación de gestión de riesgos que puede resultarte interesante.