Roles y responsabilidades en ISO 37301

🔊 Escuchar esta entrada

ISO 37301 y el enfoque sobre roles y responsabilidades

El nuevo estándar sobre gestión de cumplimiento, que reemplazará a ISO 19600, será publicado muy pronto. Vale la pena empezar a desmenuzar las novedades que traerá consigo, empezando por los roles y responsabilidades en ISO 37301.

¿Por qué comenzar hablando de los requerimientos en ISO 37301 de roles y responsabilidades? Una razón muy importante es que la nueva norma propone un enfoque nuevo en cuanto a responsabilidades, lo que representa una diferencia importante con respecto a ISO 19600.

Roles y responsabilidades en ISO 37301

El nuevo estándar, ISO 37301, requiere que la organización y sus empleados clave demuestren compromiso y liderazgo en el sistema de compliance. Para ello, la norma solicita que se definan funciones prioritarias y esenciales, las cuales deben ser asumidas por la alta dirección o el órgano de gobierno, así como por el resto de empleados, especialmente aquellos que se encargan de tareas críticas para el sistema.

A continuación, ofrecemos un resumen sobre los roles y responsabilidades en ISO 37301 que tendrán que asumir algunas partes y, por supuesto, los encargados del sistema y el oficial de cumplimiento:

Rol	Responsabilidades principales
Órgano de gobierno (Consejo de administración)	• Asegurar el cumplimiento de los objetivos de compliance • Promover la mejora continua del sistema • Implementar mecanismos de control sobre la alta dirección • Definir objetivos de cumplimiento medibles
Alta dirección	• Ejercer el liderazgo y compromiso con el compliance • Apoyar al comité de cumplimiento • Garantizar que los sistemas de reporte funcionen eficazmente • Alinear objetivos estratégicos y operacionales con el compliance • Integrar la gestión de cumplimiento en las evaluaciones de desempeño
Comité de cumplimiento (oficial de compliance)	• Evaluar riesgos e integrar obligaciones y políticas de cumplimiento • Determinar las necesidades de formación de los empleados • Fomentar la cultura de cumplimiento en la organización • Actuar como órgano consultor interno en materia de compliance
Empleados	• Adherirse a las políticas, procedimientos y procesos del sistema • Identificar y reportar fallos o problemas detectados • Participar en los programas de formación dispuestos por el comité
Directores de área	• Apoyar la gestión de compliance en todos los niveles • Garantizar que su equipo cumpla con las obligaciones asignadas • Fomentar la denuncia de riesgos de incumplimiento • Proponer acciones correctivas ante factores de riesgo • Velar por que las investigaciones lleguen a conclusión
Organización (en su conjunto)	• Implementar y sostener una cultura sólida de cumplimiento en todos los niveles

Órgano de gobierno

Corresponde a los órganos de gobierno como el consejo de administración de la organización, cuando este existe, asegurar que se cumplan los objetivos de cumplimiento y promover la mejora continua del sistema. Es también una responsabilidad de este órgano implementar mecanismos para controlar a la alta dirección, definiendo objetivos de cumplimiento que puedan ser medidos.

Alta dirección

El liderazgo y el compromiso recaen en primera instancia sobre la alta dirección. Esta debe apoyar al comité de cumplimiento, asegurando que los sistemas de presentación de resultados funcionen de forma efectiva.

El conocimiento que posee la alta dirección y su autoridad hacen que sea este el órgano idóneo para definir y alinear objetivos operacionales y estratégicos con los objetivos de cumplimiento. Asimismo, ISO 37301 solicita a la alta dirección integrar la gestión de cumplimiento con las evaluaciones de desempeño generales de la organización.

Comité de cumplimiento

El comité de cumplimiento, con el oficial de compliance a la cabeza, es el órgano superior de vigilancia de la gestión. Como tal, es el responsable de evaluar riesgos e integrar obligaciones y políticas de cumplimiento. Igualmente, este comité es el que debe determinar las necesidades de formación de los empleados necesarias para generar una cultura de cumplimiento en la organización. Y también se constituye en un órgano consultor que resuelve dudas sobre temas relacionados con la gestión de cumplimiento.

Empleados

La primera responsabilidad de los empleados en un sistema de gestión de cumplimiento es adherirse a las políticas, comprender los procedimientos y los procesos y seguirlos de acuerdo a lo planificado por los profesionales del área de cumplimiento.

Igualmente, son los empleados los primeros en identificar fallos o problemas en el sistema. Por ello, sobre ellos recae la responsabilidad de informar. Finalmente, los empleados aceptan la responsabilidad de participar en los programas de formación que haya dispuesto el comité.

Directores de área

Aunque no tengan funciones o tareas directas sobre el sistema, los directores de área tienen la obligación de apoyar la gestión en todos los niveles. Del mismo modo, deben garantizar que los empleados que se encuentren bajo su control cumplan con las obligaciones que se les hayan asignado dentro del sistema.

Los directores responsables de área deben alentar la denuncia de hechos que representen riesgo de incumplimiento, proponer acciones correctivas para eliminar esos factores de riesgo y procurar que las investigaciones lleguen a conclusiones definitivas.

La organización, en general, asume la responsabilidad de implementar y fomentar una cultura sólida de cumplimiento en todos los niveles, apoyada, por supuesto, por el comité, el oficial de cumplimiento y la alta dirección.

Cómo asignar y documentar roles y responsabilidades en el sistema de compliance

Definir quién hace qué en un sistema de gestión de compliance no es una formalidad administrativa: es uno de los requisitos más exigentes de la ISO 37301 y, al mismo tiempo, uno de los factores que más determina si el sistema funciona en la práctica o se queda en papel. Una asignación de roles clara, documentada y comunicada a toda la organización es la diferencia entre un compliance que se vive y uno que simplemente se declara.

El punto de partida: mapear la estructura organizativa

Antes de asignar responsabilidades, la organización necesita tener una imagen nítida de su propia estructura: cuántos niveles de decisión existen, qué áreas tienen mayor exposición al riesgo de incumplimiento, qué funciones son críticas para el sistema y qué personas ocupan posiciones de influencia real sobre los procesos de compliance. Este mapeo previo evita duplicidades, vacíos de responsabilidad y conflictos de competencia que, en la práctica, son fuente frecuente de fallos en los sistemas de gestión.

A partir de ese análisis, la asignación de roles debe seguir un criterio de proporcionalidad: las responsabilidades han de ser coherentes con la autoridad, los recursos y el conocimiento de quien las asume. Asignar responsabilidades de compliance a personas sin capacidad real de decisión o sin acceso a la información necesaria genera una responsabilidad nominal que no protege a la organización ni cumple con el espíritu de la norma.

Cómo documentar los roles de forma que sea útil y auditable

La ISO 37301 exige que los roles y responsabilidades estén formalmente documentados y comunicados dentro de la organización. Para que esta documentación sea realmente útil —y no un mero trámite para superar una auditoría—, conviene que recoja, al menos, los siguientes elementos para cada rol: descripción clara de las funciones y tareas asociadas al compliance, nivel de autoridad y capacidad de decisión, a quién reporta y de quién recibe instrucciones, qué indicadores miden su desempeño en materia de cumplimiento y qué formación específica de compliance requiere el puesto.

Los formatos más habituales para documentar esta información son las matrices de responsabilidades (como la matriz RACI, que distingue entre quien ejecuta, quien aprueba, quien debe ser consultado y quien debe ser informado), los perfiles de puesto con cláusulas de compliance incorporadas y los procedimientos internos que describen cómo se activan y coordinan los distintos roles ante situaciones concretas como una denuncia, una no conformidad o una auditoría.

La comunicación, tan importante como la asignación

Un rol documentado que nadie conoce no existe en la práctica. La ISO 37301 es explícita al respecto: las responsabilidades deben ser comunicadas a las personas relevantes dentro de la organización. Esto implica que cada empleado sepa no solo cuáles son sus propias obligaciones de compliance, sino también a quién debe dirigirse ante una duda, quién tiene autoridad para tomar decisiones en cada situación y cómo funciona la cadena de reporte del sistema.

Esta comunicación debe integrarse en los procesos de incorporación de nuevos empleados, en los programas de formación periódica y en los canales internos de la organización; no limitarse a un correo de bienvenida o a un documento colgado en la intranet que nadie consulta. El oficial de compliance tiene aquí un papel dinamizador clave: asegurarse de que la asignación de roles se traduce en comportamientos reales y verificables en el día a día.

Revisión periódica: los roles cambian cuando cambia la organización

La asignación de responsabilidades de compliance no es un ejercicio estático. Cada vez que la organización crece, se reestructura, incorpora nuevas actividades o se enfrenta a un cambio regulatorio relevante, es necesario revisar si los roles siguen siendo adecuados y si las personas que los asumen siguen contando con la autoridad, los recursos y la formación necesarios. La ISO 37301 sitúa esta revisión dentro de la lógica del ciclo de mejora continua: documentar, comunicar, evaluar y actualizar.

Un software de gestión de compliance como el de ISOTools facilita enormemente este proceso, al permitir asignar roles y responsabilidades de forma centralizada, registrar los cambios con trazabilidad completa, automatizar los flujos de comunicación y generar evidencias documentales listas para cualquier auditoría interna o externa.

Software para gestionar roles y responsabilidades en ISO 37301

Implementar un sistema de gestión de compliance es una demostración de que la organización asume un compromiso indeclinable con el cumplimiento y, en ese sentido, adopta prácticas de gobierno transparentes y se esfuerza por crear una cultura ética real.

La gestión de compliance es muy compleja y demanda muchas tareas. Por ello, disponer de un software, como el Software ISO 37301 de ISOTools, que estructure y automatice flujos y acciones y reduzca el error humano, hace que la gestión sea más sencilla y eficaz.