No hay duda de que el compliance se está convirtiendo en uno de los pilares fundamentales de muchas compañías para evitar riesgos de cumplimiento y posibles sanciones, además de mejorar su imagen reputacional y reducir la comisión de infracciones o irregularidades. Hasta ahora, el estándar por el que se guiaban las organizaciones comprometidas con el compliance era la norma ISO 19600:2014, sin embargo, tras años de trabajo, en abril de 2021 se publicó la nueva norma ISO 37301:2021, una norma ahora certificable, que además es transversal.
En este artículo vamos a ver las principales características de la ISO 37301 y las novedades que aporta.
En este artículo hablamos de:
¿Qué es la norma ISO 37301?
La norma ISO 37301:2021 es un nuevo estándar para los sistemas de gestión de cumplimiento normativo (compliance), desarrollada por la International Organization for Standardization (ISO) y aprobada por 60 países, entre ellos España. Su título completo es ISO 37301:2021 Compliance Management Systems – Requirements with guidance for use.
En español, la ISO 37301 ha sido traducida por la Asociación Española de Normalización (UNE), bajo el título UNE-ISO 37301 Sistemas de gestión de compliance. Requisitos con orientación para su uso.
Con la publicación de la ISO 37301 se sustituye a la antigua ISO 19600 y se establecen los requisitos que debe tener un sistema de gestión de cumplimiento para:
- Identificar las obligaciones legales que deben contemplar y cumplir las organizaciones y hacer una evaluación de riesgos de incumplimiento.
- Fomentar la cultura del compliance en toda la organización.
- Mostrar el compromiso con el compliance normativo de los directivos de la organización y dotarles de los mecanismos de control necesarios y adecuados.
- Reforzar el compliance como uno aspecto importante para la sostenibilidad de las empresas.
- Abrir un canal de denuncias interno
- Demostrar ante terceros el compromiso con el cumplimiento normativo de la organización.
¿Para qué sirve la norma ISO 37301?
Como otros estándares, la norma ISO 37301 sirve a las organizaciones que quieran mostrar su compromiso con el compliance, como una guía de uso, para poder llevar a cabo una gestión eficaz del cumplimiento normativo dentro de la organización, gracias a lo cual se puede hacer una evaluación de los riesgos de cumplimiento en los diferentes departamentos y en función de la actividad y localización de la organización, así como de adoptar las medidas y mecanismos necesarios para reducir dichos riesgos a niveles tolerables o, incluso, eliminarlos.
Además, su carácter transversal hace que sea fácilmente integrable con otros estándares de compliance, como la ISO 37001 de Sistemas de gestión antisoborno, la ISO 19602 de Compliance tributario, la ISO 19601 de Sistemas de gestión de compliance penal, así como la ISO 14001 de compliance ambiental, la ISO 9001 de Gestión de calidad, la ISO 31000 de Gestión de riesgos y la ISO 45001 de Seguridad y salud en el trabajo.
Asimismo, y como el texto de la propia norma recoge, contar con un estándar de compliance en la organización puede servir como prueba de que se han puesto y tomado las medidas necesarias para evitar la comisión de infracciones, irregularidades o delitos dentro de la organización ante un tribunal o un órgano regulador, lo que puede ayudar a atenuar sanciones o evitar recibirlas.
Aparte de evitar posibles sanciones, también sirve para evitar las pérdidas reputacionales que conllevan estas situaciones derivadas del incumplimiento de las leyes, así como de los propios códigos éticos de las organizaciones.
Características principales de la ISO 37301
Ahora que ya sabemos cuál es la norma ISO 37301, veamos sus principales características.
Para empezar, la norma se puede adaptar y aplicar a cualquier tipo de organización, con independencia del tipo, tamaño y naturaleza de la actividad a la que se dedique, así como si pertenece al sector público, privado o se trata de una organización sin ánimo de lucro.
La importancia del entorno
Esta norma ISO 37301 hace un mayor énfasis en el entorno en el que se encuentra la organización, a la que reconoce como un actor social más dentro del sistema y sujeto por las normas y obligaciones del resto de la sociedad, lo que implica, de cara al cumplimiento normativo, realizar un análisis más profundo del contexto político y social, socioeconómico, así como de la competencia, las normas territoriales, etc.
Las organizaciones afectan con su presencia y actividad a su entorno y la sociedad en la que se desarrollan, por lo que es importante que tengan estos aspectos en cuenta.
Un enfoque de riesgos
La ISO 37301 se basa y apoya en la ISO 31000 para la identificación de riesgos y la ISO 31010 para su evaluación y, como ya dijimos, se integra con las ISO 19000 de diferentes sistemas de gestión compliance, para ofrecer un enfoque transversal de los riesgos de cumplimiento en diferentes áreas.
Se trata de poner el foco en la evaluación de riesgos, en las probabilidades de que estos se materialicen, el impacto que pueden tener, en recurrir a herramientas como el mapa de riesgo de compliance para llevar un mejor control de los mismos, el nivel de riesgo que es aceptable y un plan de mejora continua para seguir minimizándolos.
Impulso del whistleblowing
La norma ISO 37301 quiere dar un mayor impulso a las herramientas whistleblowing, estableciendo requisitos específicos para dotarlas de una mayor eficacia y fomentar la idea de que el cumplimiento normativo es una responsabilidad no solo de los cargos directivos, sino de todos los miembros de la organización, que ante comportamientos ilícitos, tienen el deber de denunciarlo a los organismos correspondientes de la compañía.
Novedades de la ISO 37301:2021
La principal novedad de la ISO 37301 es que es certificable; a diferencia de la ISO 19600, que funcionaba como una guía de recomendaciones para implementar un sistema de gestión de compliance, los requisitos que recoge la norma nueva, aunque no son de obligado cumplimiento, sí pueden certificarse.
¿Qué quiere decir esto? Que un tercero podrá auditar el sistema de gestión de compliance de la organización para certificar que cumple con los requisitos recogidos en la norma ISO 37301:2021 y demostrando así, ante quien sea necesario (inversores, clientes, tribunales, organismos administrativos, etc.) que la organización está comprometida con el cumplimiento normativo en diferentes áreas.
En línea con lo anterior, otra de las novedades respecto a la ISO 19600 es que los requisitos del sistema de compliance que recoge la ISO 37301 tienen una orientación para su uso.
Además, hace hincapié en promover la cultura del cumplimiento normativo dentro de las organizaciones, donde todos sus miembros deben conocer sus responsabilidades y papel respecto al cumplimiento de las leyes, para asegurar la sostenibilidad de la compañía a largo plazo y el mantenimiento y mejora de la reputación corporativa de la misma.
¿Cómo se certifica el cumplimiento de la ISO 37301?
Para certificar el cumplimiento de la ISO 37301 es necesario que un tercero externo someta a una auditoría de compliance, basada en los requisitos de la norma, al sistema de gestión de compliance de la compañía. En España, la ISO 37301 la certifica AENOR.
Señalar que la norma ISO 37301:2021 ya está disponible en español (en la web de la ISO), aunque no es gratuita.