ISO 37301 – GESTIÓN DE COMPLIANCE
Ante la reciente publicación de la norma ISO 37301:2021- Compliance management systems Requirements with guidance for use, numerosas organizaciones nos han enviado sus consultas acerca de ello, y es posible establecer que entre todas las preguntas que hemos recibido, la que más se repite es la siguiente:
Acaso los Sistemas de Gestión de Compliance permiten marcar una diferencia?
La respuesta es categóricamente afirmativa.
Las organizaciones que aspiran a diferenciarse entre sus competidores y tener éxito a largo plazo necesitan establecer y mantener una cultura de integridad y cumplimiento, teniendo en cuenta las necesidades y expectativas de las partes interesadas.
La integridad y el cumplimiento son, por lo tanto, no solo la base, sino también una oportunidad para una organización exitosa y sostenible que mejora la confianza de los terceros y grupos de interés con los que se relaciona la organización y reduce los riesgos que pueden causarle daño a la par que mejora la información disponible para la toma de decisiones estratégicas y de dirección.
La Gestión de Compliance o cumplimiento normativo es vital para promover en una organización los valores derivados de la regulación que resulte de aplicación obligatoria, así como aquellos requisitos que la misma organización elija voluntariamente cumplir.
La falta de cumplimiento con respecto a algunas de las regulaciones expone a la organización a un riesgo de responsabilidad potencialmente significativo.
Los Sistemas de Gestión de Cumplimiento (CMS) pueden ayudar a reducir la probabilidad de incumplimiento, en una amplia variedad de enfoques, como por ejemplo:
- Ambiental
- Salud y seguridad laboral
- Finanzas
- Contratos
Los CMS establecen procesos sistemáticos, similares a listas de verificación y orientados a mejorar el cumplimiento en las organizaciones con respecto a la regulación gubernamental y otros requisitos, que permiten:
- Identificar las obligaciones de cumplimiento
- Asignar la responsabilidad de cumplirlas
- Realizar un seguimiento del progreso
- Tomar las medidas necesarias
- Reducir el incumplimiento
- Aumentar la información disponible para el personal involucrado
- Fomentar una cultura de cumplimiento
AUGE DE LOS SISTEMAS DE GESTIÓN DE COMPLIANCE
El cumplimiento normativo ha sido un desafío para la gestión desde que los gobiernos han impuesto regulaciones a las empresas y otras organizaciones. Como resultado, siempre ha existido algún tipo de sistema de gestión del cumplimiento en cualquier medida en que las empresas y otras organizaciones han creado procesos internos deliberados para asegurar que cumplen con las reglas aplicables.
En conjunto, el establecimiento de personal profesional para gestionar el cumplimiento, combinado con la implementación de un conjunto de procedimientos internos formales y estructuras de gestión para promover el cumplimiento, constituyen lo que se denomina CMS. Estos sistemas de gestión son herramientas que permiten que cada empresa pueda identificar, corregir y prevenir su propio incumplimiento.
Entre los elementos comunes de los CMS se pueden mencionar los siguientes:
- Establecimiento de políticas de cumplimiento interno
- Diseño de procesos y procedimientos comerciales para la ejecución de políticas
- Accesibilidad de políticas y procedimientos
- Capacitación en políticas y procedimientos
- Mantenimiento de registros y auditoría para evaluar el cumplimiento normativo y el cumplimiento de los procedimientos internos
- Una línea directa de denuncia confidencial y el compromiso de no tomar represalias contra los denunciantes
- Procedimientos para la acción correctiva del incumplimiento
Cada vez más, las políticas y procedimientos relacionados con el cumplimiento de una organización no solo pueden comprometerse con manuales operativos y programas de capacitación, sino que también pueden incorporarse en el diseño de la tecnología de la información y los sistemas digitales de la organización.
Los CMS se estructuran en torno a las obligaciones legales específicas que se aplican a las organizaciones dentro de las cuales se han establecido, es decir, en torno a una serie de requisitos sustantivos relacionados con:
- Contabilidad financiera
- Presentación de informes fiscales
- Prácticas laborales
- Interacciones con entes de regulación gubernamentales
- Salud y seguridad laboral
- Protección ambiental
- Otros requisitos que la organización haya decidido voluntariamente dar cumplimiento
Aunque las reglas específicas que animan los CMS de diferentes organizaciones varían, la estructura general de un CMS se basa en el Ciclo de Mejora de Edward Deming: “planificar-hacer-verificar-actuar”.
Dado que el incumplimiento normativo representa solo uno de los riesgos que enfrenta una organización, el CMS debería estar relacionado con sistemas de gestión de riesgos más grandes.
En 2014, la Organización Internacional de Normalización ISO emitió un estándar sobre sistemas de gestión de cumplimiento, la Norma ISO 19600, la que no era certificable y establecía una guía con lineamientos sobre Compliance que, siguiendo el modelo planificar-hacer-verificar-actuar, promovía entre las organizaciones el desarrollo de políticas y planes diseñados para asegurar el cumplimiento de las obligaciones legales aplicables, así como otras normas internas o de la industria.
NORMA ISO 37301 – SISTEMAS DE GESTIÓN DE CUMPLIMIENTO / COMPLIANCE
La nueva Norma ISO 37301:2021 se propone como el estándar de referencia en el mundo del Compliance y reemplaza a la norma ISO 19600:2014, con importantes novedades con respecto a su versión precedesora entre la cuales destaca la posibilidad formal de certificación y su adaptación a un amplio marco de objetivos y riesgos de cumplimiento que pueden ser objeto de tratamiento en una organización.
ISO 37301:2021 – Compliance management systems — Requirements with guidance for use
Esta norma especifica los requisitos y proporciona directrices para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz dentro de una organización, y además es aplicable a toda clase de organizaciones independientemente del tipo, tamaño y naturaleza de la actividad, así como a organizaciones del sector público, privado o sin fines de lucro.
Todos los requisitos especificados en esta norma que hagan referencia a un órgano de gobierno se aplican a la alta dirección en aquellos casos en los que una organización no tenga un órgano de gobierno como función independiente.
Esta primera edición de la Norma ISO 37301 anula y sustituye a la Norma ISO 19600:2014, que ha sido revisada técnicamente.
Los principales cambios incluidos en la Norma ISO 37301 con respecto a la Norma ISO 19600:2014 son los siguientes:
- Contiene ahora requisitos y orientación adicional basada en los mismos
- Sigue los requisitos de ISO para una estructura armonizada para las normas de sistemas de gestión
Estructura de la norma
Como toda norma ISO diseñada para un sistema de gestión, la estructura de ISO 37301 es similar a la de otros sistemas de gestión. Este estándar para gestión de Compliance cuenta en total con 10 capítulos y un anexo con hasta 10 apartados más, que son los siguientes:
- Alcance
- Referencias normativas
- Términos y definiciones
- Contexto de la organización
- Liderazgo
- Planificación
- Soporte
- Operación
- Evaluación de desempeño
- Mejora
- Anexo A: Orientación para el uso de este documento
Tal como se ha comentado, la estructura de la norma ISO 37301 es asimilable a otras normas ISO de gestión, como ISO 9001, ISO 45001, ISO 14001, o ISO 31000, por ejemplo. Esto asegura que pueda efectuarse la integración de sistemas de gestión con mayor efectividad.
GESTIÓN DE COMPLIANCE – DEFINICIONES RELEVANTES
Órgano de gobierno
Persona o grupo de personas que tienen la última responsabilidad y autoridad en las actividades, gobierno y políticas de una organización ante quienes la alta dirección informa y rinde cuentas.
Nota 1 a la entrada: No todas las organizaciones, particularmente las organizaciones pequeñas, tendrán un órgano de gobierno aparte de la alta dirección.
Nota 2 a la entrada: Un órgano de gobierno puede incluir, pero no está limitado a, un consejo directivo, comités de control, consejo de control, directores y supervisores.
Personal
Individuos en una relación reconocida como laboral en la legislación o práctica nacional, o en cualquier relación contractual cuya actividad dependa de la organización.
Función de Compliance
Persona o grupo de personas con responsabilidad y autoridad para la operación del sistema de gestión de compliance.
Riesgo de Compliance
Probabilidad de ocurrencia y las consecuencias del no cumplimiento de compliance respecto a las obligaciones de compliance de una organización.
Obligaciones de Compliance
Requisitos que una organización tiene obligatoriamente que cumplir, así como aquellos que una organización elige voluntariamente cumplir.
Compliance o Cumplimiento
El cumplimiento de todas las obligaciones de compliance de la organización.
No cumplimiento de Compliance
Incumplimiento de las obligaciones de compliance.
Cultura de Compliance
Valores, ética, creencias y conductas que existen en una organización y que interactúan con las estructuras y sistemas de control de la organización para producir normas de comportamiento que conducen al compliance.
Conducta
Comportamientos y prácticas que repercuten en los resultados para los clientes, empleados, proveedores, mercados y comunidades.
VENTAJAS DE LA GESTIÓN DE COMPLIANCE
La Gestión de Compliance es una función relevante que se ha revelado con una auténtica necesidad para todo tipo de organizaciones tanto públicas como privadas que necesitan demostrar que establecen mecanismos internos eficaces para prevenir y reaccionar ante posibles incumplimiento y atender a los requisitos legales, regulatorios y de sus grupos de interés.
Asimismo, la Gestión de Compliance implica múltiples ventajas o beneficios, tanto para la propia organización, como para sus clientes y para el mercado en general.
Entre las ventajas para la propia organización se destacan las siguientes:
- Mejorar oportunidades de negocio y la sostenibilidad
- Proteger y mejorar la reputación y credibilidad
- Demostrar el compromiso real hacia el cumplimiento
- Minimizar el riesgo de incumplimientos y los daños asociados
- Mejorar la información sobre los riesgos que afectan a la organización para una adecuada toma de decisiones estratégicas y de gestión.
- Asegurar el cumplimiento de requisitos de licitación y compra
- Aumentar la confianza de terceras partes en la capacidad de la organización para lograr un éxito sostenido
Desde el punto de vista de los clientes de organizaciones que gestionan su compliance también se pueden encontrar ventajas, como las siguientes:
- Incremento de la confianza
- Reducción de riesgos en la relaciones empresariales
- Mayor transparencia
- Mejora del proceso de comunicación
- Inclusión de criterios éticos en la realización de actividades y negocios
Para el mercado en general las ventajas de la Gestión de Compliance son:
- Establecimiento internacional y de consenso sobre los elemento que debe contener un programa de compliance
- Reducción de los riesgos derivados de prácticas colusorias en contra de la libertad de competencia
- Incorporación de principios éticos en el gobierno de las organizaciones
- Incremento de los niveles de transparencia y comunicación
- Generación de valor sostenible por parte de las organizaciones
GESTIÓN DE COMPLIANCE – ENFOQUE DE ISO 37301
La nueva norma ISO 37301 contiene ahora requisitos del sistema de compliance, pero con orientación adicional para su uso en función de esos requisitos, y es una norma certificable. Esto supone una importante novedad con respecto a ISO 19600, que servía como guía de recomendaciones, pero no era una norma certificable.
El compliance es un proceso continuo y el resultado de que una organización cumpla con sus obligaciones, y se hace sostenible a través de su integración en la cultura de una organización y en el comportamiento y la actitud de las personas que trabajan para ella.
El enfoque de una organización para el compliance consiste en que los líderes apliquen los valores fundamentales y las normas generalmente aceptadas de buena gobernanza, de ética y de la comunidad.
De este modo, uno de los objetivos declarados en la Norma ISO 37301 es:
Ayudar a las organizaciones a desarrollar y difundir una cultura positiva de compliance, teniendo en cuenta que una gestión eficaz y sólida de los riesgos relacionados con compliance debería considerarse como una oportunidad para perseguir y aprovechar, debido a los diversos beneficios que proporciona a la organización.
Se pretende además que tanto los requisitos como la guía que proporciona ISO 37301 sean adaptables, y su aplicación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión del compliance de una organización y de su contexto, la naturaleza y la complejidad de las actividades y los objetivos de la organización.
Entre las actividades que se pueden implementar para la Gestión de Compliance se destacan las siguientes:
- Disponer de análisis y evaluación de obligaciones de cumplimiento
- Identificar y analizar el contexto, entorno de la organización y requisitos de sus grupos de interés
- Establecer responsabilidades y objetivos en materia de cumplimiento
- Contar con la identificación, análisis y evaluación de riesgos de cumplimiento
- Definir planes de tratamiento de los riesgos de cumplimiento
- Implementar una cultura del cumplimiento y formación de sus recursos humanos
- Mejorar la comunicación hacia y desde la partes interesadas
- Establecer controles y diligencia debida
- Desarrollar canales de información, denuncia y consulta
- Establecer procesos de investigación
Considerando además el punto de vista de los organismos de regulación y judiciales, la introducción de la nueva Norma ISO 37301 podrá servir como una referencia estándar en Compliance.
Desde luego, implementar ISO 37301 ayudará a muchas organizaciones a prevenir riesgos de incumplimiento. Estos riesgos pueden ocasionar sanciones y pérdidas reputacionales para aquellas empresas u organizaciones que no cumplan con las leyes y códigos éticos del contexto en los que operan.
CUESTIONARIO GESTIÓN DE COMPLIANCE – ISO 37301:2021
Bibliografía:
- ISO 37301: 2021, Sistemas de gestión de cumplimiento: Requisitos con orientación para su uso (2021)
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.
Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.
Calidad & Gestion - Consultoría para Empresas 