En el mundo actual, donde la normativa y la conformidad con las reglas son elementos esenciales para el éxito en el mundo empresarial, la Norma ISO 37301 se presenta como una guía fundamental para las empresas que desean fortalecer sus sistemas de gestión de cumplimiento. En este artículo, analizaremos en profundidad qué implica la Norma ISO 37301, examinaremos su estructura y los componentes esenciales que la componen, y exploraremos los beneficios que aporta al ser implementada de manera efectiva en las operaciones empresariales.
Norma ISO 37301: Una perspectiva en profundidad
Como se indicaba en la introducción, en un panorama empresarial donde la transparencia y la integridad son esenciales, la Norma ISO 37301 emerge como unos de los pilares de esta estructura en el ámbito del cumplimiento. Titulada «Sistemas de gestión de cumplimiento – Requisitos con orientación para su uso», esta norma, lanzada en el año 2021, proporciona un enfoque estructurado para que las organizaciones evalúen, aborden y gestionen de manera efectiva los riesgos de incumplimiento normativo que pueden surgir en sus operaciones.
¿Cuáles son los componentes esenciales y la estructura de la Norma ISO 37301?
La Norma ISO 37301 sigue una estructura coherente, en consonancia con otras normas ISO bien conocidas, como la ISO 9001 y la ISO 14001, y como otras más en su línea de actuación, como la ISO 37001 de Sistemas de Gestión Antisoborno, o la UNE 19601 de Compliance Penal. A continuación, desglosamos los componentes clave que constituyen esta norma:
- Marco Organizacional: Al igual que en sus contrapartes, la ISO 37301 arranca con la comprensión del contexto en el que opera la organización. Abarca la identificación de las partes interesadas, tanto internas como externas, que tienen la capacidad de influir en los aspectos de cumplimiento, así como la materialización de sus necesidades y expectativas, sin dejar de lado el alcance del sistema de gestión de Compliance, del que se habla un poco más adelante, pues en este punto se encuentra la clave de esta norma.
- Liderazgo y Compromiso: La alta dirección de la organización y su órgano de gobierno deben exhibir un liderazgo comprometido y visible en relación con el cumplimiento. Sólo así se generará una verdadera cultura de cumplimiento en las organizaciones, con el apoyo incondicional de sus responsables. Este apartado de la norma implica el establecimiento de políticas, la asignación clara de roles y responsabilidades y la especial intervención de la función de Compliance.
- Evaluación de Riesgos: Las organizaciones deben discernir y valorar los riesgos de incumplimiento inherentes a sus operaciones. Implica analizar la normativa aplicable, los requerimientos regulatorios y otras obligaciones normativas pertinentes, respecto del alcance que se haya determinado abordar en la certificación de la norma en cuestión.
- Planificación: Los objetivos de cumplimiento en el sistema de gestión deben ser adecuadamente planificados para llegar a su consecución en tiempo y forma. En el mismo sentido, las acciones que las entidades deben acometer para abordar los riesgos y oportunidades se han de ordenar en el tiempo, de forma que su planificación garantice el éxito en su gestión.
- Apoyo: Los conocidos como elementos de apoyo en algunas de las otras normas mencionadas al inicio del artículo, no son diferentes en esta ocasión: son aquellos elementos que van a ayudar a generar esa cultura de cumplimiento de la que se ha hablado ya y que apoyará, además, el desarrollo personal de quienes sustentan el sistema con su trabajo diario, pues son personas las que intervienen en todos estos procesos.
- Operación: En esta sección, se establecen los procesos y controles necesarios para asegurar el cumplimiento normativo. Podría abarcar desde la la revisión y actualización periódica de políticas y procedimientos, hasta la implementación de medidas de detección y prevención.
- Evaluación del Desempeño y Mejora Continua: En estos dos últimos puntos de la norma, la ISO 37301 exige a las organizaciones que monitoreen y evalúen constantemente su desempeño en relación con el cumplimiento. Involucra auditorías internas, la evaluación de la efectividad de las medidas adoptadas y la implementación de acciones correctivas en caso de desviaciones.
¿Cuáles son las ventajas estratégicas de la adopción de la Norma ISO 37301?
- La integración de la Norma ISO 37301 en la cultura empresarial trae consigo una serie de beneficios estratégicos:
- Enfoque Preventivo en Cumplimiento: La norma empodera a las organizaciones a abordar el cumplimiento desde un enfoque preventivo en lugar de reaccionar únicamente ante incumplimientos evidentes.
- Mitigación de Riesgos y Sanciones: Identificar y abordar de forma preventiva y proactiva los riesgos de incumplimiento puede desempeñar un papel fundamental en la reducción de sanciones legales y multas, contribuyendo a la protección de los activos y la imagen corporativa de la empresa.
- Fortalecimiento de la Imagen Corporativa: Un cumplimiento normativo sólido y transparente mejora la percepción que tienen las partes interesadas de la organización, desde clientes hasta reguladores, pasando incluso por los propios empleados cuya conciencia en Compliance es sustancial para el día a día de la entidad.
- Eficiencia Operativa Optimizada: Al establecer procesos y controles transparentes, se logra una optimización de la eficiencia operativa y se evitan costosas interrupciones causadas por problemas de cumplimiento.
- Integración Armónica con Sistemas Existentes: Gracias a su estructura cohesiva, la ISO 37301 puede integrarse de manera eficiente con otros sistemas de gestión preexistentes, evitando duplicaciones y reduciendo esfuerzos innecesarios.
¿Cuál es el desafío principal antes de comenzar? Definir el alcance
El alcance de la norma es fundamental a la hora de implementar y abordar la ISO 37301. El motivo de ello es que, en la actualidad, el cumplimiento normativo en cualquier tipo de empresa, incluso en una pyme (y en una muy pyme), es ingente. Desde cuestiones laborales, a mercantiles, financieras, de calidad, de medio ambiente, específicas por sectores, o general como el cumplimiento penal o de antisoborno. Requisitos legalmente exigibles (y por tanto, perseguibles) o meramente voluntarios, de cumplimiento autoimpuesto.
Plantear en el seno de una entidad la certificación en la ISO 37301 abre un abanico infinito de posibilidades de gestión del cumplimiento de manera que es recomendable acotar el alcance de inicio e ir ampliando el mismo conforme el sistema va adquiriendo firmeza y robustez con la madurez de los años.
Comenzar por una certificación de un alcance ya preparado y consolidado de alguna otra norma (véase, calidad, medio ambiente, protección de datos, penal), ayudará a establecer las bases de este nuevo sistema con sobrada solvencia, con el objetivo de conseguir, tras algún tiempo, que todos los requerimientos normativos se apoyen en este pilar único.
“El hecho de dejarse acompañar por consultores en el proceso de implantación de una norma, y su posterior certificación, dota a las empresas del expertise de quienes han participado en decenas de proyectos de este tipo y pueden abordar el mismo con un conocimiento maduro de los procesos que rigen la implantación y de las experiencias en otras empresas, posiblemente en sectores de actividad similares. Adicionalmente, la participación en los procesos de certificación facilita al consultor el profundo conocimiento de la interpretación de la norma por parte de la entidad certificadora, ayudando todo ello al cliente en una implantación completa y adecuada 100% a la norma certificable.” María del Águila Bigorra, Consultora Senior en GlobalSuite Solutions.