ISO 37301 – Apartado 4.2 Comprensión de las necesidades y expectativas de las partes interesadas

🔊 Escuchar esta entrada

4.2 Comprensión de las necesidades y expectativas de las partes interesadas

Si te quieres zambullir de lleno en la norma ISO 37301, pero sientes que hay muchos detalles que no comprendes del todo, una vez más en ISOTools estamos listos para socorrerte y explicarte punto por punto de qué va este tema del compliance, un asunto del que todos hablan y que va cobrando relevancia conforme pasa el tiempo. Se hacen debates, simposios, webinars y hasta hay una norma ISO para implementar todo un sistema de gestión de compliance (CMS, por sus siglas en inglés). Vale la pena profundizar y hoy lo haremos al adentrarnos en el apartado 4.2 del estándar, que se centra en la comprensión de las necesidades y expectativas de las partes interesadas.

Para avanzar, es preciso tomar en cuenta que se define en el término 3.2 una parte interesada como “las personas u organizaciones que pueden afectar, ser afectadas o percibir que son afectadas por una decisión o actividad”. Tenemos algunos ejemplos como:

¿Cómo abordar este apartado? Tenemos que identificar cuáles son las partes interesadas de nuestra organización y cuáles son los requisitos de estas en relación con el sistema de gestión de compliance. Estas personas y entes empresariales no se mantienen inmutables, sino que pueden cambiar según el contexto. De allí la necesidad de revisar periódicamente, como un proceso, quiénes dejaron de ser pertinentes y quiénes se incorporaron, para que el CMS sea eficaz y pueda mejorar continuamente su eficacia.

De acuerdo con la norma ISO 37301, es necesario que la organización determine los requisitos y necesidades de las partes interesadas. Es decir, es necesario conocer los requisitos de las partes interesadas que ya identificamos. ¿Qué debemos tomar en cuenta primero? Las necesidades y obligaciones inherentes al sistema de gestión de compliance, por ejemplo:

• Cumplir con los deberes fiscales (como declaración y pago de impuestos, entre otros).
• Estar al tanto de la promulgación de nuevas leyes y reglamentos.
• Evitar estar en deuda con los pagos de imposiciones legales y beneficios de trabajadores.
• Contar con información documentada al día, como contratos con clientes y proveedores.
• Creación de códigos de ética y conducta, manuales de buenas prácticas y procedimientos destinados a evitar conflictos de interés, malentendidos e incumplimiento.
• Honrar los compromisos con los socios de negocio.

Las necesidades de las partes interesadas van desde requisitos obligatorios hasta expectativas no obligatorias y compromisos voluntarios asumidos por las partes. En el anexo de la norma ISO 37301 se expone que los obligatorios son requisitos formales, como leyes, reglamentos, permisos y licencias, y acciones gubernamentales o judiciales. En cuanto a los voluntarios, no existen explicaciones en el estándar, pero se trata de acuerdos verbales o contractuales que resultan convenientes para quienes suscriben los pactos o normas de cumplimiento voluntario como la ISO 9001, ISO 45001, ISO 14001, entre otras.

¿Cómo identificar a las partes interesadas y sus requisitos?

Podríamos considerar lo siguiente para conseguirlo:

• Formar grupos de trabajo multidisciplinarios.
• Dar lugar a las tormentas de ideas, debates y demás técnicas de discusión.
• Estudios y entrevistas con las partes interesadas.
• Encuestas de satisfacción.
• Estudios de mercado.

Todos los hallazgos sobre partes interesadas y sus requisitos requieren ser registrados mediante informes, con el fin de garantizar la eficiencia del CMS. No dejar constancia de los datos recabados daría lugar a equívocos, imprecisiones y confusiones innecesarias. Este apartado puede abordarse de forma idónea si logramos precisar de qué manera interactuamos con cada parte interesada.

Interés e influencia de las partes interesadas

La norma ISO 37301 aclara que es imperativo determinar cuáles requisitos de las partes interesadas se abordarán a través del sistema de gestión del compliance, puesto que el CMS tiene capacidades, límites y fronteras con base en los recursos disponibles por parte de la organización que lo implementa. Y cuanto antes las conozcamos, mejor será.

Cumplir con el apartado 4.2 de la norma podría resultar más sencillo si determinamos cuál es el grado de interés y el nivel de influencia de cada parte interesada, lo cual definiría su pertinencia. Al contar con el inventario resultante y analizadas ambas variables, tendrán que tomarse medidas pertinentes para relacionarse con las mencionadas partes. Existen elementos del CMS que podrían nutrirse significativamente gracias a estas revisiones. Un ejemplo palpable podría ser el análisis de riesgos de compliance.

¿Para qué determinar las necesidades y expectativas de las partes interesadas?

Este requisito es vital para el éxito del CMS porque nos permite hacer conexión entre las necesidades y expectativas de las partes interesadas pertinentes con los riesgos y oportunidades, que es el requisito 6.1, como indica el siguiente esquema:

Es decir, que la determinación de requisitos de las partes interesadas es una de las entradas principales para los riesgos y oportunidades del CMS, que tiene un carácter estratégico para el logro de los objetivos de compliance, cumplir con las obligaciones de compliance identificadas y crear y proteger valor de los resultados de la evaluación de los riesgos de compliance.

Te invito a que sigas acompañándonos en estas lecturas guiadas de la norma ISO 37301, un estándar potente y que con cada día que pase será más relevante.

Diferencia entre necesidad y expectativa de las partes interesadas

Uno de los matices más importantes del apartado 4.2 de la ISO 37301 es la distinción entre lo que una parte interesada necesita y lo que simplemente espera. Aunque en el lenguaje cotidiano ambos términos se usan de forma intercambiable, en el contexto de un Sistema de Gestión de Compliance tienen implicaciones bien distintas para la organización.

Una necesidad hace referencia a un requisito de carácter obligatorio: algo que la organización debe cumplir sin margen de discrecionalidad. Se trata de obligaciones formalmente establecidas por leyes, reglamentos, permisos administrativos, sentencias judiciales o normativas sectoriales. Incumplirlas no solo genera un riesgo legal, sino que puede derivar en sanciones económicas, responsabilidad penal o daño reputacional grave. En la práctica, necesidades de este tipo son, por ejemplo, la obligación de presentar declaraciones fiscales en plazo, respetar la normativa laboral vigente o contar con las licencias de actividad exigidas por la administración.

Una expectativa, en cambio, tiene naturaleza voluntaria: representa lo que una parte interesada considera deseable o conveniente, aunque su incumplimiento no conlleve consecuencias legales directas. Puede tratarse de acuerdos verbales o contractuales entre partes, estándares de comportamiento ético recogidos en códigos de conducta, o adhesiones voluntarias a normas de cumplimiento como la ISO 9001, la ISO 14001 o la propia ISO 45001. Si bien no son obligatorias en sentido estricto, ignorarlas puede erosionar la confianza de clientes, socios o inversores y deteriorar la reputación corporativa a medio plazo.

La ISO 37301 obliga a que la organización no solo identifique qué partes interesadas son relevantes, sino que también clasifique con claridad qué tipo de requisito plantea cada una. Esta distinción es determinante a la hora de priorizar recursos, establecer controles de compliance y definir los objetivos del sistema, ya que no todas las obligaciones tienen el mismo peso ni el mismo impacto potencial. Un CMS maduro y eficaz trata ambas dimensiones con rigor: gestiona las necesidades como líneas rojas que nunca pueden cruzarse y las expectativas como compromisos que construyen valor y confianza a largo plazo.

Ejemplos de partes interesadas, necesidades y expectativas en ISO 37301

Para aplicar correctamente el apartado 4.2 de la ISO 37301, es útil aterrizar el concepto de parte interesada con casos concretos que ilustren cómo se traducen sus necesidades y expectativas en requisitos reales del Sistema de Gestión de Compliance. A continuación se presentan los perfiles más habituales en cualquier organización, junto con los requisitos de compliance que cada uno genera.

Autoridades reguladoras y organismos públicos. Representan la fuente más exigente de necesidades obligatorias. Sus requisitos incluyen el cumplimiento puntual de obligaciones fiscales y tributarias, la presentación de declaraciones e informes ante organismos supervisores, el respeto a la normativa medioambiental, laboral y de protección de datos, y la obtención y renovación de licencias y permisos de actividad. No se trata de preferencias: son líneas rojas cuyo incumplimiento puede acarrear sanciones administrativas, penales o el cese de la actividad.

Clientes y consumidores. Sus necesidades se centran en recibir productos y servicios conformes con la normativa vigente, con información veraz y sin prácticas comerciales engañosas. Sus expectativas, en cambio, apuntan a un trato ético, transparencia en las condiciones contractuales, protección de sus datos personales y comportamiento responsable por parte de la organización más allá de lo estrictamente legal. En sectores regulados como el financiero, el sanitario o el alimentario, las exigencias de este colectivo son especialmente intensas.

Empleados y representantes sindicales. La plantilla espera que la organización cumpla con la normativa laboral en materia de contratación, retribución, prevención de riesgos y no discriminación. Pero sus expectativas van más allá: canales seguros y anónimos para reportar irregularidades, formación en ética y compliance, un entorno de trabajo íntegro y coherencia entre los valores declarados y la conducta real de la dirección. La confianza interna es un activo de compliance que no debe subestimarse.

Accionistas e inversores. Necesitan que la organización opere dentro del marco legal y cumpla con sus obligaciones de reporte financiero y gobierno corporativo. Sus expectativas incluyen una gestión transparente del riesgo, políticas anticorrupción sólidas, sostenibilidad del modelo de negocio y adhesión a estándares internacionales de buen gobierno. En un entorno donde los criterios ESG (ambientales, sociales y de gobernanza) pesan cada vez más en las decisiones de inversión, este colectivo ejerce una influencia creciente sobre el diseño del CMS.

Proveedores y socios de negocio. Sus necesidades se articulan en torno al cumplimiento de los términos contractuales pactados: plazos de pago, condiciones de suministro y respeto a los acuerdos de confidencialidad. Sus expectativas abarcan relaciones comerciales estables y predecibles, procesos de debida diligencia justos y proporcionales, y que la organización no les exija incumplir sus propias obligaciones legales o éticas. La cadena de suministro es hoy uno de los principales focos de riesgo de compliance, especialmente en lo relativo a soborno, trabajo forzado o evasión fiscal.

Comunidad local y sociedad civil. Aunque su influencia formal suele ser menor, su capacidad para afectar a la reputación de la organización es considerable. Sus expectativas se centran en que la empresa opere de forma responsable con el entorno, respete el medioambiente, contribuya al desarrollo del territorio y mantenga una conducta ética coherente con los valores que declara públicamente.

Mapear estas partes interesadas, clasificar sus requisitos entre obligatorios y voluntarios, y revisar periódicamente si siguen siendo pertinentes es la base sobre la que el apartado 4.2 de la ISO 37301 construye un sistema de compliance realmente robusto, adaptado a la realidad de cada organización y capaz de anticiparse a los riesgos antes de que se materialicen.

Software para gestionar partes interesadas y requisitos de compliance en ISO 37301

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools, específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones.