nueva ISO 373012021

Analizamos la nueva ISO 37301:2021 del sistema de gestión de Compliance

07/07/2021
Número de visualizaciones

¡Y al fin llegó el estándar que todos esperábamos! la nueva ISO 37301:2021 del sistema de gestión de Compliance ya es oficial y en este post vamos a explicar las modificaciones más importante y cómo aplicarlas a la actividad del Compliance officer.

ISO 37301:2021 Sistemas de Gestión de Compliance - Requisitos con orientación para su uso

El pasado 13 de abril vimos como se hacía realidad un hecho muy esperado por la comunidad de Compliance. Vio la luz el deseado estándar internacional ISO 37301:2021 Compliance management systems - Requirements with guidance for use. Debido a su relevancia y gran impacto, el citado estándar cuenta en la Organización Internacional de Estandarización (ISO por sus siglas en inglés) con una versión oficial en español, fruto de la labor llevada a cabo por el grupo de trabajo ISO/TC 309 STTF (Spanish Translation Task Force), compuesto por 12 países de habla hispana y presidido por España.

Tras su publicación, la Asociación Española de Normalización (en adelante, UNE) se sumó de forma inmediata al trabajo desempeñado por la Organización Internacional de Normalización, y el reciente 1 de junio publicó la norma UNE-ISO 37301 Sistemas de Gestión de Compliance - Requisitos con orientación para su uso; de forma que se incorporó la versión española del estándar internacional a nuestro elenco de normas nacionales, con idéntico contenido.

Derogación de la ISO 19600:2014

El nuevo estándar ISO 37301:2021 viene a sustituir a su antecesora ISO 19600:2014 Sistemas de Gestión de Compliance - Directrices. El derogado estándar, que fue la primera norma internacional en materia de compliance, establecía unas guías de actuación y buenas prácticas para la creación de sistemas de gestión de Compliance. Proporcionaba a todo tipo de organizaciones un conjunto de directrices para el desarrollo, la implementación, la evaluación y el mantenimiento de sistemas de gestión de compliance globales y específicos.

Dentro de los dos tipos de estándares de sistemas de gestión (Management System Standard, o MSS) de ISO, la norma ISO 19600:2014 se diseñó como un “MSS de tipo B”, los cuales recogen directrices y recomendaciones, no siendo en consecuencia certificable ante un tercero independiente. Cuando se inició el proceso de normalización del estándar, no se consideraba por parte del Organismo Internacional que existiese demanda social suficiente que justificase su diseño como un “MSS de tipo A” certificable. Además, hay que tener en cuenta que la ISO 19600 tuvo como base el estándar australiano AS 3806:2006, primer estándar nacional de sistema de gestión de compliance con un enfoque global, y que tampoco era certificable.

No obstante, la evolución del mercado evidenció la necesidad de un sistema de gestión de compliance certificable con el que las organizaciones pudiesen demostrar ante los stakeholders su compromiso con el cumplimiento no solo de las obligaciones legales que vienen exigidas de forma externa, también de aquellos compromisos que elige interna y voluntariamente cumplir, destacando los de carácter ético.

Es así como se llega a la revisión de la ISO 19600:2014, decidiendo que debe ser actualizada y sustituida por un estándar “MSS de tipo A” certificable que generase confianza en el mercado. De esta se va a poder verificar la conformidad del contenido del sistema de gestión, y demostrar su eficacia, al contener requisitos medibles.  

ISO 37301:2021; Más que un estándar de sistemas de gestión certificable

El nuevo estándar internacional enmarcado dentro los MSS de tipo A, además de especificar requisitos, proporciona igualmente directrices, que no siendo obligatorias, pueden resultar de gran ayuda para interpretar y aplicar dichos requisitos. Esta orientación adicional para el uso de la norma se encuentra en el anexo A del documento.

El objeto y campo de aplicación del estándar se mantienen en reglas generales, teniendo por finalidad el establecimiento, desarrollo, implementación, evaluación, mantenimiento y mejora de un sistema de gestión del compliance eficaz dentro de todo tipo de organizaciones, independientemente del tipo, tamaño y naturaleza de la actividad, aplicándose a entidades tanto del sector público, como privado o sin fines de lucro.

Pese a lo desarrollado, cometeríamos un error y pecaríamos de simplistas si pensáramos que la nueva ISO 37301 es simplemente la versión certificable de la ISO 19600:2014, ya que incorpora importantes novedades, entre las que podemos destacar:

  • Incluye el desglose de requisitos, incorporando un anexo de orientación para el uso de la norma, con ejemplos prácticos que sirven como guía para la implementación del sistema de gestión.
  • Mayor énfasis en la comprensión del contexto de la organización. Si bien la ISO 19600 ya recogía la importancia de determinar aquellos factores internos y externos que afectaban a la empresa parar poder detectar los principales riesgos a los que se enfrentaba una organización, la actual ISO 37301 va más allá y exige un análisis más profundo del contexto legal, social, cultural, digital, financiero, estructural, ambiental y partes interesadas.
  • Sigue el camino que inició su predecesora y va un paso más allá estableciendo a la cultura de compliance como factor determinante para que una organización cumpla con sus objetivos y sea sostenible a largo plazo. La cultura de cumplimiento se erige como la base para lograr un programa de cumplimiento eficaz, estableciendo requisitos específicos sobre cultura de compliance e incorporando ejemplos específicos para la creación y desarrollo de la cultura positiva de compliance.

Fruto de esta preocupación por el desarrollo de una cultura empresarial ética y honesta, se incorpora por primera en un estándar ISO de compliance el término  “conducta” en el apartado dedicado a definiciones, señalando que son aquellos “comportamientos y prácticas que repercuten en los resultados para los clientes, empleados, proveedores, mercados y comunidades”.

  • Aborda el novedoso proceso para el planteamiento de inquietudes.
  • Recoge por primera vez el proceso de planteamiento de inquietudes y los procesos de investigación fomentando el uso del canal de denuncias.
  • Hace referencia a los procesos de empleo, señalando la importancia de contar con procedimientos de contratación adecuados que estén alineados con los valores de la organización y los objetivos de compliance.

De este modo el nuevo estándar internacional se ha hecho eco de los avances en la materia y ha recogido las buenas prácticas consolidadas durante este tiempo, ampliando y mejorando el contenido de su antecesora.

Mantenimiento de la HLS, estructura de alto nivel

El grupo ISO de coordinación técnica elaboró para sus estándares sobre sistemas de gestión de compliance la denominada estructura de alto nivel (High Level Structure, HLS). La estructura de alto nivel es una forma normalizada de redactar los estándares de sistema de gestión ISO, de modo que todos tengan una estructura común armonizada y un contenido análogo. El objetivo es lograr la uniformidad de las normas de gestión para facilitar la implementación de las normas.

El empleo de esta estructura de alto nivel es obligatorio para aquellos MSS de tipo A, siendo potestativo en los MSS de tipo B, aunque en la ISO 19600 se optó por utilizarse. De este modo, la ISO 37301 se configura como un estándar de alto nivel que permite su integración con el resto de sistema de gestión. Hay que tener presente que la nueva norma tiene un enfoque global y se aplica con carácter transversal a toda la organización, por lo que contar con una estructura de alto nivel será fundamental para que se integren en ella otras normas preexistentes destinadas a gestionar riesgos de ámbitos normativos más específicos.

La estructura de alto nivel se compone de la siguiente estructura común:

  1. Introducción
  2. Objeto y campo de aplicación
  3. Referencias normativas
  4. Términos y definiciones
  5. Contexto de la organización
  6. Liderazgo
  7. Planificación
  8. Apoyo
  9. Operación
  10. Evaluación del desempeño
  11. Mejora

Esta estructura, fiel a la filosofía de ISO, garantiza que los estándares desarrollados no sean excesivamente prescriptivos, permitiendo que las organizaciones puedan desarrollar con flexibilidad el sistema de gestión que más se adecue a sus particularidades. 

La ISO 37301 mantiene además la estructura de mejora que debe reunir todo sistema de gestión de riesgos. Estructura asimilada al círculo de control de Deming o ciclo PDCA (plan-do-check-act; desarrollar, implementar, evaluar y mantener), que permite integrar la cultura de compliance en todas las áreas de la organización asegurando la mejora continua del sistema.

Conclusiones sobre la ISO 37301:2021 

El nuevo estándar internacional refleja a la perfección que compliance va mucho más allá que limitarse al cumplimiento de los requisitos que una organización tiene obligatoriamente que cumplir por imperativo legal, debiendo cumplir igualmente con aquellos compromisos que la entidad elige voluntariamente cumplir, destacando aquellas de carácter ético.

Pese a que en varias jurisdicciones, entre ellas la española, la implantación de un programa de compliance puede suponer la exención de responsabilidad penal tal y como establece el art. 31 bis del Código Penal, el fin último de los programas de cumplimiento no debe ser la exención de la pena por parte de la persona jurídica, sino “promover una verdadera cultura ética empresarial”, tal y como señaló la Fiscalía General del Estado en la Circular 1/2016. En esta línea, la cultura de compliance conforma el pilar donde descansa la ISO 37301. Se incorporan indicadores de cumplimiento o KCI (Key Compliance Indicators) para mediar la cultura de cumplimiento en la organización de forma que se pueda medir y mejorar el rendimiento del sistema para lograr la implantación de un sistema de gestión eficaz.

Podemos esperar por tanto que los beneficios de implementar la reciente ISO 37301:2021 no consistan exclusivamente en una reducción del riesgo de multas debido a incumplimientos, sino en la instalación de una verdadero cultura de cumplimiento integrada en todas las áreas de negocio de la organización; la mejora de la reputación y credibilidad frente al mercado; el aumento del valor añadido y de la confianza a las partes interesadas; y el logro de ser sostenible en el largo plazo.

Categorizado en: Derecho Empresarial

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre MasterClass de INESEM. Una plataforma en la que profesionales enseñan en abierto

Profesionales enseñando en abierto