Encuentra acá todo lo que necesitas saber sobre la gestión de riesgos →
_______Encuentra acá todo lo que necesitas saber sobre la gestión de riesgos →
_______La Organización Internacional de Normalización (ISO por sus siglas en inglés) publicó en abril de 2021 la nueva norma de sistemas de gestión de compliance: la norma ISO 37301, que sustituye la norma ISO 19600 y que tiene entre sus principales novedades que es certificable.
Establecer una cultura de cumplimiento debe ser una prioridad para las organizaciones, hacerlo demuestra el compromiso que tienen para cumplir las diferentes leyes y regulaciones que le son aplicables, además de los principios de buen gobierno, ética, y transparencia.
Por eso, es clave gestionar de manera adecuada el compliance y los riesgos relacionados con este, igualmente representa varios beneficios para las organizaciones, por ejemplo, proteger su integridad, evitar o minimizar los no cumplimientos, incrementar las oportunidades de negocio y ser sostenibles.
En este contexto, la norma ISO 37301 especifica los requisitos y proporciona una guía y prácticas recomendadas para que las organizaciones establezcan, desarrollen, implementen, evalúen, mantengan y mejoren un sistema de gestión de compliance eficaz.
En el siguiente especial de la Academia Pirani te contamos lo que debes saber sobre esta nueva norma, cuáles son sus principales características, sus requisitos y los elementos a considerar para la implementación de un sistema de gestión de cumplimiento.
De acuerdo con la Organización Internacional de Normalización (ISO), uno de los objetivos de esta norma, que reemplaza la ISO 19600 de 2014, es "ayudar a las organizaciones a desarrollar y difundir una cultura positiva de compliance, teniendo en cuenta que una gestión eficaz y sólida de los riesgos relacionados con compliance debería considerarse como una oportunidad para perseguir y aprovechar".
Así, la ISO 37301 es aplicable a cualquier tipo de organización, independientemente de su tamaño o naturaleza, incluso las empresas del sector público o sin ánimo de lucro pueden implementarla.
Adicionalmente, la norma está basada en los principios de buen gobierno, transparencia, proporcionalidad y sostenibilidad y entre otras cosas, se caracteriza por:
La norma ISO 37301 adopta el Modelo PHVA (Planificar - Hacer - Verificar - Actuar), con base en esto, los elementos que incluye un sistema de gestión de compliance son:
Como en otros sistemas de gestión, implementar este modelo PHVA en la gestión del cumplimiento es muy beneficioso para las organizaciones porque permite hacerlo de forma consciente y organizada, además, gracias a la revisión y monitoreo periódico se toman decisiones de manera oportuna para realizar ajustes e implementar las acciones de mejora que sean necesarias para que todo el personal esté alineado con los objetivos del sistema y aporte a su cumplimiento.
Estructura de la norma ISO 37301
Como se mencionó anteriormente, ISO 37301 tiene una estructura de alto nivel, lo que facilita su integración con otros sistemas. Los 10 capítulos que conforman esta nueva norma de sistemas de gestión de cumplimiento son:
A continuación abordamos algunos de los puntos más relevantes de la norma.
En este punto, la norma indica que se debe comprender la organización y su contexto, es decir, identificar los factores internos y externos que pueden tener alguna incidencia en su operación y gestión, igualmente, se deben conocer las necesidades y expectativas de las partes interesadas en cuanto al sistema de cumplimiento.
Por otro lado, en este punto también se debe determinar el alcance (ámbito de aplicación) del sistema de gestión de compliance, así como las obligaciones de este e identificar, analizar y evaluar los riesgos relacionados con el cumplimiento de normas y regulaciones aplicables a la organización.
Independiente del sistema de gestión que una organización vaya a implementar, este aspecto es de gran relevancia porque del compromiso que tenga la alta dirección depende en gran medida el buen funcionamiento de este.
En el caso del sistema de gestión de compliance, la norma ISO 37301 exige a los líderes estar comprometidos con este sistema en todas sus etapas: establecimiento, desarrollo, implementación, evaluación, mantenimiento y mejora, además, deben ser los principales responsables de definir la política de compliance de la organización.
Adicionalmente, en este punto la norma establece los roles y responsabilidades que se deben asumir como parte del sistema de gestión de cumplimiento.
Entre los roles se incluyen: órgano de gobierno, alta dirección, comité de compliance, gerentes y personal en general, que debe conocer y cumplir las obligaciones, procedimientos y políticas de compliance definidas por la empresa.
La norma establece que es necesario tener una planificación de:
Este punto de la norma se refiere a los diferentes aspectos a tener en cuenta para el logro de los objetivos propuestos y las acciones planificadas.
Así, habla de contar con los recursos necesarios para la implementación del sistema, esto es: recursos financieros, humanos y tecnológicos. En este último, por ejemplo, es recomendable contar con una solución tecnológica como Pirani y su sistema de Compliance, que permite identificar, gestionar y controlar de manera simple los riesgos de cumplimiento que se puedan presentar por no cumplir normas y regulaciones obligatorias.
La norma también destaca las competencias que debe tener el personal que estará a cargo del sistema de compliance, así como la importancia de desarrollar estrategias para que todos los miembros de la organización cumplan con lo indicado en el sistema.
La toma de conciencia, la comunicación y la información documentada son otros aspectos a considerar para que el sistema sea exitoso, por eso, son fundamentales las formaciones y capacitaciones sobre cumplimiento normativo para todo el personal (que sean de forma periódica y preferiblemente didácticas) e igualmente, la información del sistema debe estar disponible y ser de fácil acceso para todos.
Según lo que indica la norma, en este punto las organizaciones deben realizar una planificación y control operacional, deben hacerlo partiendo de los objetivos y además, definir las acciones de seguimiento.
También deben establecer los controles y procedimientos de compliance, teniendo en cuenta que estos deben ser revisados y actualizados constantemente para garantizar la prevención o mitigación de los riesgos de cumplimiento que han sido identificados.
Y también deben definir e implementar los canales para el planteamiento de dudas o denuncias relacionadas con el cumplimiento de las normativas.
Por último, en este punto las empresas deben establecer el proceso de investigación que llevarán a cabo para evaluar y conocer detalles de los posibles casos de incumplimiento que puedan presentarse.
Para conocer el desempeño del sistema de gestión de compliance, ISO 37301 señala que las organizaciones deben realizar seguimiento, medición, análisis y evaluación de forma periódica al sistema, por eso, es necesario que definan los métodos que utilizarán para hacerlo y los indicadores a considerar para medir su desempeño.
Del mismo modo, en este punto la norma indica que se deben desarrollar programas de auditoría interna y que por parte de la dirección se realice una revisión del sistema de cumplimiento.
En este último punto de la estructura de la norma, como en cualquier otro sistema de gestión, lo que se busca es la mejora continua, por eso aquí se deben definir las acciones correctivas que se ejecutarán para corregir y superar las no conformidades o brechas que se identifiquen en el sistema a partir de las evaluaciones o los procesos de auditoría interna.
La mejora continua también permite la adaptación y actualización del sistema al contexto cambiante en el que se mueven las organizaciones.
Entre los beneficios que tiene para las organizaciones implementar un sistema de gestión de cumplimiento a partir de la norma ISO 37301, la Organización Internacional de Normalización destaca:
Adicional a estos beneficios, la organización puede mejorar su imagen y fortalecer su posición y reconocimiento en el mercado porque como lo mencionamos en este especial, tener un sistema de gestión de compliance facilita en muchos aspectos el cumplimiento de todas las obligaciones que le apliquen (legales, contractuales, gubernamentales, etc.).
Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.
Empezar prueba gratis