SERVICIOS DE CERTIFICACIÓN
Gestión de Compliance: ISO 37301
La nueva Norma ISO 37301:2021 será la norma de referencia en el mundo del compliance y reemplaza a la norma ISO 19600:2014, con importantes novedades con respecto a su versión predecesora en entre la cuales destaca la posibilidad formal de certificación y su adaptación a un amplio marco de objetivos y riesgos de cumplimiento que pueden ser objeto de tratamiento en una organización.
Las organizaciones que aspiran al éxito a largo plazo necesitan establecer y mantener una cultura de integridad y cumplimiento, teniendo en cuenta las necesidades y expectativas de las partes interesadas. La integridad y el cumplimiento son, por lo tanto, no solo la base, sino también una oportunidad para una organización exitosa y sostenible que mejora la confianza de los terceros y grupos de interés con los que se relaciona la organización y reduce los riesgos que pueden causarle daño a la par que mejora la información disponible para la toma de decisiones estratégicas y de dirección.
Los sistemas o programas de compliance se han revelado con una auténtica necesidad para todo tipo de organizaciones, tanto públicas como privadas, que necesitan demostrar que establecen mecanismos internos eficaces para prevenir y reaccionar ante posibles incumplimiento y atender a los requisitos legales, regulatorios y de sus grupos de interés.
ISO 37301 define los requisitos estructurales mínimos que deber tener un programa/sistema de compliance para ser conforme con la normativa internacional y establecer un nivel razonable de aseguramiento en materia de cumplimiento en las organizaciones.
¿Qué es compliance?
Desde el punto de vista jurídico, compliance es una palabra de origen extranjero. Tuvo que ser adaptada a nuestro idioma, habiendo un consenso para definirlo con el término de “cumplimiento normativo”.
El compliance se rige como una herramienta eficaz que le permite a la empresa principalmente evitar el riesgo de incumplimiento. Sea esta, una normativa instaurada de manera voluntaria u obligatoria por la misma organización.
El Responsable de Cumplimiento Normativo se encarga de orientar a la alta gerencia y empleados sobre el cumplimiento de las leyes y normativas establecidas. Además, vela por la aplicación de todas las políticas y procedimientos operacionales de la institución. Y a su vez, realiza recomendaciones para que cumplan con las leyes actuales. Finalmente, genera un sistema de gestión de cumplimiento en beneficio de la organización.
Novedades en la ISO 37301: La nueva norma publicada presenta 2 cambios importantes sobre su antecesora la ISO 19600. En primer lugar, la norma contiene requisitos del sistema de compliance, pero con orientación adicional para su uso en función de esos requisitos. La anterior norma simplemente daba pautas y orientaciones. En segundo lugar, la ISO 37301 tiene la posibilidad de una certificación directa.
La organización internacional de normalización ISO ha considerado que la Gestión de Cumplimiento está estrechamente vinculada a la gestión anticorrupción. Y esta se relaciona con las mejores prácticas éticas, razón por la cual, la Gestión de Compliance adopta una nomenclatura concordante con este nuevo enfoque.
La aplicación de este estándar en las organizaciones ayudará a prevenir riesgos de incumplimiento. De otro modo, las malas prácticas pueden generar sanciones drásticas y pérdidas de reputación para todas las empresas y organizaciones que no vienen cumpliendo las leyes.
Además, aquellas empresas u organizaciones que no cumplan con las leyes y códigos éticos del contexto en los que operan podrían cesar sus actividades.
La principal diferencia entre la Norma ISO 37301:2021 y el estándar ISO 19600:2014, su antecesora, es que esta última no era certificable, al tener el carácter de recomendaciones en vez de requisitos. Aunque en la actualidad existen variedad de certificaciones disponibles en materia de cumplimiento, la Norma ISO 37301 ahora tendrá ventaja sobre las demás existentes, ya que ofrece un enfoque global que trasciende sobre los asuntos de naturaleza estrictamente penal y permite su adecuación a los riesgos legales de diversa naturaleza.
Otra diferencia es que el nuevo estándar se ha nutrido de la evolución que han tenido tanto el resto de normas técnicas ISO en sistemas de gestión, como de los avances que han surgido en el ámbito del Compliance. Aspectos como el contexto de la organización, la relación con los distintos públicos de interés y la importancia de la efectividad dentro de la evidencia, son coherentes con la realidad actual y dejan cada vez más obsoletos los modelos basados en papel y la cultura de checkbox.
Además, la Norma ISO 37301 vendrá acompañada de un extenso anexo como guía, que contribuirá a la documentación de los sistemas y facilitará la labor de los auditores, similar a lo que ha hecho el Anexo C de la Norma UNE 19601, aunque ampliando el nivel de detalle.
Uno de los retos que ha tenido la Norma UNE 19601 es que al ser un estándar sobre sistemas de gestión de Compliance Penal, su alcance está muy delimitado. Aunque la intención de la norma fue abarcar el cumplimiento normativo penal y hacerlo extensivo a otros ámbitos, existe una percepción generalizada de que los riesgos penales no son tan próximos a la empresa como otros riesgos legales de naturaleza administrativa o incluso civil. Esto, en la práctica, ha condicionado la implementación de este estándar.
La Norma ISO 37301 no tendrá ese problema, ya que habilita a las organizaciones a certificar su sistema de gestión de Compliance partiendo de un análisis de riesgos legales asociados a su actividad, sin que tenga que incluir el filtro de riesgos penales. Estos deberán analizarse en tanto sean aplicables, y en empresas españolas seguirá siendo recomendable que lo hagan. Pero el punto de partida podrá abarcar preocupaciones más próximas a la realidad empresarial, como la protección de datos, la prevención de blanqueo de capitales, o la gestión fiscal.
Otra de las ventajas de este estándar es que facilitará la integración del Compliance con otra área en donde existen cada vez más controles: La gestión de la información no financiera. Un sistema de gestión conforme al estándar UNE 37301 contribuirá a la documentación no sólo en el ámbito de Compliance, sino de mucha de la información necesaria para elaborar las memorias de gestión no financiera.
Por último, se trata de un estándar ISO, que es una organización de carácter internacional, lo cual le da más peso a su valor respecto de la certificación de la UNE 19601 fuera del mercado español, y puede eventualmente convertirse en requisito para participar en licitaciones internacionales, especialmente en mercados iberoamericanos donde las exigencias en Compliance comienzan a ser cada vez más frecuentes.
Las organizaciones que buscan tener éxito a largo plazo necesitan establecer una cultura de cumplimiento, considerando las necesidades y expectativas de las partes interesadas. El compliance es la base para que una empresa se mantenga económicamente estable y vigente en el mercado, marcando gran diferencia frente a su competencia.
Ventajas para la ORGANIZACIÓN:
(a) Mejorar oportunidades de negocio y la sostenibilidad.
(b) Proteger y mejorar la reputación y credibilidad.
(c) Demostrar el compromiso real hacia el cumplimiento.
(d) Aumentar la confianza de terceros.
(e) Minimizar el riesgo de incumplimientos y los daños asociados.
(f) Mejorar la información sobre los riesgos que afectan a la organización para una adecuada toma de decisiones estratégicas y de gestión.
(g) Cumplimiento de requisitos de licitación y compra.
Ventajas para los CLIENTES:
(a) Incremento de la confianza.
(b) Reducción de riesgos en la relaciones empresariales.
(c) Incremento de la transparencia.
(d) Mejora de los canales de comunicación y feed back.
(e) Inclusión de criterios éticos en la realización de actividades y negocios.
Ventajas para el MERCADO:
(a) Establecimiento internacional y de consenso sobre los elementos que debe contener un programa de compliance.
(b) Reducción de riesgos derivados de prácticas colusorias y en contra del libre mercado.
(c) Incorporación de principios éticos en el gobierno de las organizaciones.
(d) Incremento de los niveles de transparencia y comunicación.
(e) Generación de valor sostenible por parte de las organizaciones.
Sectores de APLICACIÓN:
Cualquier tipo de organización, tanto pública como privada de cualquier sector de actividad.