ISO 37301 Sistema de Gestión del Compliance

Autor: Juan Bosco, Abogados y MBA. Consultor y auditor de sistemas de gestión y antisoborno. Perito Judicial en Compliance. Compliance Officer. Miembro de World Compliance Association

Fuente: Legal & Compliance

Iniciado el periodo para votación de la Norma. Una vez recibido y registrado el borrador final (FDIS) de la Norma ISO 37301 sobre Sistemas de Gestión de Cumplimiento, el 1 de Enero se ha iniciado un periodo de ocho semanas para consultas antes de remitirse de nuevo al Comité Técnico (ISO / TC 309) Gobernanza de organizaciones para su repaso y posterior publicación.

El Comité Técnico (TC) 309, dedicado a la gobernanza de las organizaciones se responsabiliza de la estandarización en relación con aspectos de dirección, control y rendición de cuentas de las organizaciones. Entre las normas establecidas bajo la gestión de esté comité se encuentran las relacionadas con: sistemas de gestión de la continuidad del negocio (ISO ISO 22301), sistemas de gestión de seguridad para la cadena de suministro (ISO 28001), orientaciones para la gestión de la innovación (ISO 56002), directrices para la gestión de riesgos (ISO 31000), sistemas de gestión antisoborno (ISO 37001), y sistemas de gestión del cumplimiento (ISO 19600). Es precisamente esta última norma la que viene a ser sustituida por ISO 37301.

ISO 37301 que estaba previsto que viera su publicación en el 2020, podrá estar con toda probabilidad publicada al término del primer trimestre del 2021.

El proceso de elaboración de la norma

El proceso de ISO 37301, como el de otras normas ISO, desde la recepción de la propuesta como nuevo proyecto de norma hasta la situación actual ha ido superando una serie de estudios y controles. Una vez aprobado el proyecto, en fase preparatoria se registra en el programa de trabajo del Comité Técnico y se elabora un borrador de trabajo (WD) que una vez aprobado es circulado, abriéndose un periodo de investigación e información pública para recibir comentarios y sugerencias y someterse a votación como borrador de la norma (DIS) durante un periodo de tres meses. El resultado una vez evaluado por el Comité Técnico recibe, si procede, y este es el caso de la norma ISO 37301 a que nos referimos, la aprobación como borrador final (FDIS) que el comité somete de nuevo a consideración durante un plazo de dos meses previo a la aprobación para su publicación.

Por la experiencia en el curso de otras norma publicadas, y como consecuencia de la atención dedicada durante el proceso, cabe esperar que este borrador final de ISO 37301 sea aprobado en su momento con pocas modificaciones, que serán básicamente formales.

Diferencia con ISO 19600

La norma ISO 19600 fue publicada en el año 2014 (es España se publica como UNE-ISO en abril del 2015 como traducción oficial al castellano), y debía de ser sometida a la revisión periódica conforme al ciclo quinquenal de ISO.

Sin entrar en detalles del contenido específico de la norma (1), lo más relevante es que ISO 37301 contiene requisitos. Esto es, especificaciones precisas que deben de cumplir los sistemas de gestión del compliance en las organizaciones para poder ser sometidos a auditorías de certificación de tercera parte. Esta tercera parte es alguna de las entidades certificadoras que están acreditadas por los organismos reconocidos a nivel nacional (en España ENAC). Estos actúan con transcendencia internacionalidad cuando forman parte del Foro Internacional de Acreditación (IAF) que mediante acuerdos internacionales aceptan el reconocimiento mutuo de certificados e informes emitidos por las entidades acreditadas, creando un entorno según el que una entidad certificadora acreditada es reconocida y aceptada en todos los países.

La norma ISO 19600 de hecho se presentaba como un compendio de directrices con el objeto de proporcionar orientación para establecer sistemas de gestión de compliance con base en los principios de buen gobierno, proporcionalidad, transparencia y sostenibilidad. Pero como tal guía no contiene requisitos para la certificación de los sistemas, si bien pueden usarse los parámetros que ofrece para su evaluación.

ISO 37301 además de contener requisitos que permiten la certificación- incluye también una guía para el uso de la norma. De hecho la guía ocupa más extensión en la norma que la propia redacción de los requisitos. La guía tiene la particularidad, extremadamente útil, de ofrecer sus recomendaciones ordenadas conforme a cada uno de los puntos en los que se recogen requisitos.

Coexistencia con ISO 37001 y con UNE 19601

En 2016 se publicó la norma ISO 37001 con requisitos para los sistemas de gestión antisoborno. Esta norma está constituyendo un pilar importante en la lucha contra las diferentes formas de soborno, particularmente en determinados países en Iberoamérica en los que disponer de sistemas de gestión antisoborno certificados representa la posibilidad, o no, de acceder a la contratación de obras y servicios con la administración o empresas públicas.

En la práctica son bastantes las organizaciones que a la hora de implantar un sistema de gestión antisoborno elevan sus miras a objetivos más extensos y no limitan sus códigos de conducta a la prevención del soborno en cualquiera de sus formas o la corrupción frente a la administración. Estas organizaciones van a tener la oportunidad de emplear ISO 37301 como una referencia para la mejora de sus sistemas de gestión de cumplimiento, pudiendo obtener en un proceso de auditoría conjunto la certificación de acuerdo con ambas normas.

En los países donde la certificación con ISO 37001 es un requisito para la contratación pública esta certificación será la prioritaria.

En España es UNE 19601 la norma que se está usando como referencia para la certificación de los sistemas de gestión de compliance. Sin olvidar que la norma UNE contiene referencias específicas al marco normativo español el Anexo A de la norma es una tabla de relaciones entre sus requisitos y las disposiciones del artículo 31 bis 5 del Código Penal- los requisitos de esta norma UNE y los que incluye ISO 37301 no son disparejos, por lo que una empresa u organización que ha optado por certificar su sistema de cumplimiento con UNE no va a encontrar dificultades en hacerlo de conformidad con los requisitos de ISO 37301.

¿Qué norma es más interesante para la organización? En primer lugar insistir en que lo importante es que la empresa cuente con un plan de compliance que sea eficaz para la prevención de delitos y que la organización disponga de una verdadera cultura de cumplimiento en toda su extensión, niveles y actividades. Sentado esto, ambas normas contienen requisitos que proporcionarán al plan de compliance la solidez que requiere. Las empresas cuya actividad tenga una mayor trascendencia internacional, por ejemplo por formar parte de una matriz extranjera, o por tener filiales, delegaciones, clientes o proveedores en otros países pueden encontrar más adecuada ISO 37301 como referencia para la certificación de su sistema de gestión del compliance.

Un Manual para la aplicación de ISO 37301

Para facilitar la tarea de las empresas a la hora de analizar los requisitos de la norma y en la forma de interpretar las recomendaciones para su uso hemos preparado un Manual ISO 37301 Sistemas de Gestión del Compliance.

Este Manual, de más de ciento cuarenta páginas, de orientación práctica, aclara y explica la norma, aporta ideas y sugerencias para su aplicación, y ofrece soluciones y herramientas para la implantación de un sistema de gestión del compliance conforme a los requisitos de ISO 37301 (2) o para adaptar a los mismos el modelos de prevención de delitos de la organización.

Quienes se vayan a iniciar en sistemas de gestión de compliance van a comprender los requisitos de la norma y la importancia de cada uno en relación con el cumplimiento, y para quienes estén familiarizados con los sistemas de gestión avanzarán en su integración con otros sistemas y normas internas de la organización.

Permite resolver dudas, vencer la resistencia de la organización, aprovechar las oportunidades, ahorrar costes y acortar el proceso de implantación de un plan de compliance.

Se proporciona aquí un enlace en el que se puede obtener más más información sobre el Manual y sus contenidos.

Sin duda la publicación de ISO 37301 atraerá un mayor interés sobre los sistemas de gestión de compliance. Los modelos de cumplimiento seguirán sujetos a las disposiciones de cada país sobre la responsabilidad penal de las personas jurídica, la lucha contra la corrupción y el blanqueo de capitales, pero el tráfico comercial y el intercambio empresarial contarán con un instrumento común, más allá de cualquier frontera, capaz de generar confianza. Por eso esta, como otras normas ISO sobre calidad, medio ambiente, seguridad de la información, seguridad y salud laboral…, está llamada a convertirse en el marco de referencia para el compliance.

(1) Para conocer más sobre las diferencias entre ISO 19600, UNE 19601 e ISO 37301 puedes contactar a través de email.
(2) Requisitos de ISO 37301 y del Código Penal español.

Si estás interesado en implantar, evaluar o hacer un peritaje, auditar o certificar un sistema de compliance y antisoborno conforme a UNE 19601 / 19602 o ISO 37001 / 37301 solicita información a través de este formulario.
Si te interesa este tema suscríbete al blog con tu email y recibirás notificación de las nuevas publicaciones.