Implementar un Sistema de Gestión de Compliance implica cumplir con normas y transformar la forma en que la organización previene, detecta y corrige incumplimientos legales y éticos. La primera vez que hablamos de la norma ISO 37301 la vinculamos con un enfoque de mejora continua y gobernanza, y en este artículo te explico paso a paso cómo hacerlo de forma práctica y técnica.

¿Qué exige la norma y qué beneficios aporta?

ISO 37301 exige un enfoque basado en procesos y riesgos, donde las organizaciones deben demostrar compromiso de la dirección, evaluación de riesgos y controles efectivos. Este enfoque permite reducir sanciones, proteger la reputación y alinear el compliance con los objetivos estratégicos.

Entre los beneficios clave están la coherencia operativa y la capacidad de trazabilidad, lo que facilita la toma de decisiones basada en evidencias y la mejora continua del sistema de compliance dentro de la organización.

Fases para implementar un Sistema de Gestión de Compliance ISO 37301

La implementación se articula en fases claras y medibles: diagnóstico y alcance, diseño de controles, despliegue operativo, monitorización y mejora continua. A continuación detallo las fases y actividades críticas que no puedes omitir.

1. Diagnóstico y definición del alcance

Realiza un mapeo de obligaciones legales y riesgos de cumplimiento específicos por actividad, y define el alcance del sistema con criterios temporales, geográficos y de procesos. Este análisis inicial determina prioridades y recursos necesarios.

2. Compromiso de la dirección y gobernanza

Asegura el liderazgo visible y la asignación de responsabilidades, estableciendo políticas y estructuras de gobierno que respalden la independencia de funciones clave y la rendición de cuentas dentro de la organización.

3. Evaluación de riesgos y controles

Identifica, valora y prioriza riesgos de compliance mediante matrices y metodologías cuantitativas o cualitativas, y diseña controles proporcionales que mitiguen esos riesgos de forma coste-eficiente y medible.

4. Documentación, procedimientos y registros

Elabora políticas, procedimientos y flujos de trabajo alineados con los controles, y define los registros obligatorios para evidenciar cumplimiento y facilitar auditorías internas o externas.

5. Formación, comunicación y cultura

Diseña programas de formación por perfiles y canales de denuncia efectivos, para que el personal interiorice las políticas y actúe con criterio frente a dilemas éticos o legales.

6. Monitoreo, auditoría y mejora

Implementa KPI, auditorías internas y revisiones de la alta dirección, con ciclos claros para corregir desviaciones y optimizar controles en función de resultados y cambios regulatorios.

7. Respuesta a incidentes y remediación

Define procesos de investigación, contención y medidas disciplinarias o correctivas, asegurando que exista trazabilidad de acciones y aprendizaje organizacional posterior a cada incidente.

Fases, responsables y entregables

La siguiente tabla sintetiza las fases principales y lo que debes entregar en cada una, lo que facilita la gestión de hitos y responsabilidades.

Esta tabla te ayuda a asignar recursos y calendarizar entregables clave, y se debe revisar en cada ciclo de mejora continua para mantener la eficacia del sistema.

Puntos clave para asegurar una implementación efectiva

• Integración con la estrategia organizacional: Alinea los objetivos de compliance con los objetivos corporativos y métricas de negocio para evitar silos y resistencias internas.

• Proporcionalidad y enfoque basado en riesgos: Prioriza recursos en riesgos críticos y diseña controles eficaces y eficientes, evitando burocracia innecesaria.

• Transparencia y evidencia: Mantén registros accesibles y auditables que demuestren la toma de decisiones y las acciones realizadas.

Integrar correctamente un sistema de gestión de compliance convierte el cumplimiento en una ventaja competitiva, al reducir la incertidumbre regulatoria y fortalecer la confianza de clientes y stakeholders. Para facilitar su implementación, incorpora herramientas como la automatización de controles, la digitalización de registros y paneles de monitorización que ofrezcan respuestas rápidas y trazables. Es recomendable comenzar con un plan piloto en un área de alto riesgo para validar controles antes de la implantación completa. Cada organización debe adaptar la norma a su contexto legal, tamaño y cultura, apoyándose en recursos especializados.

La interoperabilidad con otros sistemas, como ISO 9001, permite reducir duplicidades y optimizar la eficiencia operativa. Durante la implantación, mide resultados mediante KPI de proceso e impacto (no conformidades, tiempos de respuesta, costes de cumplimiento) y utiliza visualizaciones y reportes periódicos para la alta dirección. Documenta las decisiones clave y los criterios de aceptación para mantener la trazabilidad del diseño y facilitar futuras auditorías o revisiones, consolidando una cultura de mejora continua basada en datos y evidencia verificable.

La futura ISO 37301 busca responder a estos desafíos, incorporando requisitos más claros, flexibles y adaptados a la realidad digital y climática del siglo XXI.
Compartir en X

Auditoría, certificación y sostenibilidad del sistema

La auditoría interna y las revisiones por la dirección son el motor de la sostenibilidad del sistema, ya que identifican mejoras y validan la eficacia de controles en diferentes escenarios de riesgo.

Si optas por la certificación externa, prepara evidencia sólida y demuestra que las no conformidades detectadas se tratan con planes de acción eficaces y plazos concretos.

Software ISO 37301: Automatización y transformación digital del Sistema de Gestión de Compliance ISO 37301

Contar con un Software ISO 37301 adecuado como el de ISOTools cambia por completo la ejecución práctica del proyecto, porque automatiza tareas repetitivas, centraliza evidencias y facilita la generación de informes para la dirección y para auditores.

Cuando estás preocupado por la sobrecarga documental o por la capacidad para responder con rapidez ante un hallazgo, un software especializado reduce la fricción operativa y conforta al equipo al aportar trazabilidad y control. En ISOTools hemos visto cómo equipos que temían perder el control del proceso recuperan confianza y tiempo para decisiones estratégicas gracias a la automatización y la analítica con Inteligencia Artificial.

Si sientes inquietud por cumplir sin paralizar operaciones o quieres que el sistema deje de ser una carga, la transformación digital con ISOTools no solo resuelve problemas técnicos, también acompaña el cambio cultural y operativo necesario para que el compliance sea una ventaja competitiva.

Software compliance

En el mundo actual, donde la regulación y el cumplimiento normativo son fundamentales para la sostenibilidad y reputación de cualquier empresa u organización, contar con herramientas que faciliten estos procesos se ha vuelto vital. ISOTools ofrece una solución integral para la gestión del cumplimiento normativo basado en la norma ISO 37301. De esta forma, ayuda a las empresas de todo el mundo a establecer, desarrollar, implementar, evaluar, mantener y mejorar un Sistema de Gestión de Compliance efectivo. 

¿Qué es la ISO 37301? 

Antes de todo, es necesario sentar las bases acerca de la norma ISO 37301. ISO 37301 es un estándar internacional que proporciona directrices para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance (CMS – Compliance Management System por sus siglas en inglés). Este estándar sustituye a la ISO 19600, proporcionando requisitos más precisos y orientados a ayudar a las empresas y organizaciones a cumplir con las leyes, regulaciones y otros compromisos contractuales y voluntarios. 

Beneficios de ISOTools para la gestión de compliance 

Implementar un sistema de gestión de compliance con el software de cumplimiento de ISOTools ofrece múltiples beneficios entre los que se pueden destacar los siguientes: 

1. Automatizar los Procesos: ISOTools automatizar las tareas rutinarias y repetitivas del Sistema de Gestión de Compliance, permitiendo a las compañías poner el foco en las tareas con un mayor valor añadido. 
2. Centralizar la Información: Con ISOTools, toda la información relevante para el cumplimiento normativo se mantiene almacenada de manera centralizada y segura, lo que facilita el acceso y la gestión de datos críticos. 
3. Mejora Continua: El software de cumplimiento está diseñado en base al cicle PDCA de mejora continua, ayudando a identificar posibles áreas de mejora y a implementar los cambios necesarios de manera efectiva. 
4. Reducir los Riesgos: Al facilitar el cumplimiento de las normativas y estándares, ISOTools ayuda a reducir los riesgos asociados con el incumplimiento, que puedan acarrear sanciones económicas, protegiendo la reputación y los activos de la organización. 
5. Facilidad de Uso: La interfaz intuitiva de ISOTools asegura que todos los usuarios puedan navegar y utilizar el software de compliance con facilidad, reduciendo la curva de aprendizaje y mejorando la eficiencia operativa en un corto plazo de tiempo. 

Características Clave de ISOTools para ISO 37301 

ISOTools cuenta con una serie de características claves y diferenciales, que no pueden encontrarse en otros software del mercado, ya que recientemente se ha incorporado la aplicación de la Inteligencia Artificial (IA) para estar a la vanguardia: 

• Gestión Documental: Administra de manera eficiente toda la documentación relacionados con el Sistema de Gestión de Compliance. 
• Control de Procesos: Supervisa y controla los procesos clave para asegurar el cumplimiento continuo de la organización. 
• Auditorías y Evaluaciones: Facilita la realización de auditorías internas y externas, así como evaluaciones periódicas de cumplimiento en la empresa. 
• Capacitación para Concienciar: Ofrece módulos de formación y recursos para asegurar que todos los miembros de la organización entiendan y cumplan con las normativas vigentes. 
• Reportes y Análisis: Genera reportes detallados y análisis para monitorear el desempeño del Sistema de Gestión de Cumplimiento en tiempo real. 

La regulación y el cumplimiento normativo son fundamentales para la sostenibilidad y reputación de cualquier empresa u organización.
Compartir en X

¿Qué empresas necesitan un software compliance? 

El software de compliance de ISOTools está indicado para empresas de todos los tamaños y sectores que buscan garantizar el cumplimiento de normativas y regulaciones. Desde grandes corporaciones hasta pymes, este tipo de software es esencial para gestionar riesgos, mantener la integridad operativa y asegurar la transparencia en todas las áreas de la organización. Su implementación facilita la supervisión de políticas internas, la auditoría de procesos y la adaptación a cambios en la regulación, proporcionando a las empresas una herramienta robusta y segura para operar con confianza y credibilidad en mercados internacionales cada vez más exigentes. 

Software ISO 37301 de ISOTools 

La gestión efectiva del compliance es crucial para cualquier organización que busque mantener su integridad y confianza en el mercado. Con ISOTools, las empresas pueden simplificar y fortalecer sus sistemas de gestión de compliance gracias al software ISO 37301, asegurando el cumplimiento normativo y protegiendo su reputación. 

Descubre cómo ISOTools puede transformar la gestión de compliance en tu empresa y para garantizar el cumplimiento con todos los requisitos normativos de manera eficiente y efectiva.

Programas de Compliance

El mantenimiento de altos y robustos estándares éticos se suman a la adhesión a leyes nacionales e internacionales, reglamentos, requisitos, códigos y contratos que debe observar una organización. El compliance es una de las actividades primordiales, puesto que las empresas con productos y negocios alrededor del mundo se adhieren, aplican y se ciñen a leyes y regulaciones en vigencia, ya sea donde operan o realizan transacciones. Para ello implementan prácticas y estándares de integridad/gobernabilidad en los negocios que realizan. Pero son tantas las legislaciones y normas y son tan importantes que ni siquiera el “no cumplí porque no tenía conocimiento de esas reglas”, es una excusa para las autoridades regulatorias.

Es primordial el cumplimiento de las regulaciones, tanto externas como las propias de la organización. Y es que el seguimiento y cumplimiento de los principios es mandatorio. No obstante, es dificultoso para los empleados comprender las regulaciones/leyes de varios países. Entonces, ¿Cómo saber cuál es el total de requisitos existentes, ¿Cuántos de ellos aplican a la organización, ¿Cómo cumplirlos y saber a qué riesgos nos exponemos si no cumplimos?

Contar con un departamento encargado del compliance es ideal, aunque podría resultar costoso en términos económicos. Y, por supuesto que existen herramientas de control como las auditorías, entrenamiento general, cuestionarios de consulta… Pero hoy hablaremos de una de las herramientas más potentes y eficaces: los programas de compliance automatizados. Lo ideal es que estos sistemas sean:

• Simples y escalables, para permitir alinearse con las estrategias y la dinámica de los procesos.
• Flexibles, para permitir operar desde lugares remotos (comités de crisis, teletrabajo, etc.).

Además de facilitar la implementación y certificación de la norma ISO 37301 – Sistemas de gestión de compliance, un software automatizado contribuye al mantenimiento del sistema de gestión. El impacto en el compliance es relevante porque la organización puede simplificar las actividades administrativas y comunicativas (el software se encarga de actualizar las tareas, chequear que se cumplan en el lapso pautado y reasignar las tareas, en caso de que no fuesen entregadas a tiempo). Con estas actividades necesarias pero engorrosas cubiertas por la tecnología, el personal puede centrarse en mejorar e innovar.

Un programa de compliance ISO 37301 completo 

Las automatizaciones tienen un impacto real y comprobable en la eficiencia, puesto que podemos eliminar el error humano que impregna las actividades cotidianas. El software puede ejecutar las transacciones de forma más rápida y fluida. Además, nos permite consultar a través de varios dispositivos (teléfonos, tables, laptops, ordenadores de la oficina, entre otros). Gracias a las automatizaciones podemos centralizar la información, mantenerla vigente y apoyarnos en ella para tomar las mejores decisiones. Un software podría ayudarnos a:

• Identificar las actividades en cuyo ámbito puedan ser cometidos los incumplimientos que deben ser prevenidos.
• Establecer los protocolos o procedimientos que concreten la adopción de decisiones y de ejecución de estas.
• Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
• Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del sistema de gestión de compliance.
• Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas adoptadas.
• Realizar una verificación periódica de los acuerdos y compromisos, y de sus eventuales cambios, cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada, que los hagan necesarios.

No podemos olvidarnos de la gestión de riesgos, políticas y procedimientos que podemos mantener actualizadas gracias a las automatizaciones. Otros aspectos relevantes tienen que ver con la capacitación y comunicación, monitoreo y auditoría, investigaciones e informes, premios y sanciones, y revisiones.

Controles que transforman

Las automatizaciones son útiles para determinar cómo abordar el riesgo de incumplimiento. Las organizaciones que pasan por alto el impacto potencial del incumplir corren peligro. Cualquiera sea el país, la industria o el tipo de organización, el incumplimiento implica un riesgo global. Cada región, gobierno o proyecto tiene sus propias complejidades, variables y oportunidades propias. Por eso es vital contar con automatizaciones que nos ayuden a fijar y vigilar los controles a nivel de empresa, de procesos y de transacciones.

Las finanzas de la organización reciben un impacto positivo al automatizar el SGC, puesto que un software implica la mejora, ella conlleva a la satisfacción de los clientes y a la capitalización de esas ventajas.  

Software Compliance ISO 37301

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

El punto 10 de la norma ISO 37301 – Sistema de gestión de compliance es probablemente nuestro favorito del estándar. ¿Por qué? Es que, si llegamos allí, ya debimos haber implementado el CMS, pero no por eso podemos considerar que todo está resuelto y no queda nada por hacer. Imagina que tienes una receta ganadora y que a medida que pasa el tiempo y la vas preparando, te animas a incorporar nuevos ingredientes o a eliminar otros. El resultado es una versión genial de la fórmula y te sorprendes gratamente: ¡mejoraste! De eso trata este apartado.

¿Es la ISO (Organización Internacional de Estandarización) un ente muy quisquilloso, al que le parece que el trabajo nunca está terminado? No, solo que el contexto influye: recordemos que las normas se nutren de la filosofía Kaizen, en la que se expone que cada día se pueden llevar a cabo mejoras pequeñas.

Esta, a su vez, proviene de la milenaria cultura japonesa. Y como siempre hay nuevas formas de ver las cosas, de percibir aprendizajes que trae consigo el contexto, existen la diversidad de puntos de vistas, lecciones aprendidas, cambios en los equipos de trabajo, e iniciativas del negocio u organización que llevan inexorablemente a nuevas oportunidades de mejorar la capacidad de mejorar (suena redundante, lo sabemos), estas ideas calaron en el mundo occidental.

Mejora continua en ISO 37301, un camino que hay que recorrer.

¿Qué sucede si somos excelentes trabajadores, nuestros productos y servicios son los mejores y la calidad de nuestra organización es ampliamente reconocida? ¡También debemos seguir mejorando! Porque la excelencia no es un estado, sino un camino que se recorre. No se trata de llegar a un destino, la excelencia se forja en el tiempo y toma diferentes formas, tal como el universo, que se encuentra en constante expansión.

Podríamos aseverar, entonces, que la mejora es la parte alegre de los sistemas de gestión, nos lleva a ver el trabajo con optimismo porque cada mejora se traduce en una nueva oportunidad, y ese es un pensamiento feliz que es capaz de materializarse y que no conoce de límites. Además, solo sabremos que un sistema de gestión de cumplimiento (CMS) es eficaz porque mejora y evoluciona continuamente.

Recordemos que el contexto cambiante, derogación y promulgación de leyes, entre otros, incentivan el cambio y la mejora. De acuerdo con el punto 10.1 de la norma ISO 37301 la manera de verificar la mejora podría resumirse en revisiones, auditorías internas y métodos creados por la organización, como aplicar encuestas a los colaboradores.

Con ellas se podrían medir la cultura de cumplimiento y la eficacia de los controles. Según los resultados obtenidos sería posible determinar si es necesario modificar aspectos del CMS y cuáles son las oportunidades de mejora. Cuando ejecutemos las modificaciones tenemos que considerar cómo impactará cada una de ellas en el CMS en cuanto a la disponibilidad de recursos, obligaciones, procesos, entre otros.

 No conformidades y acciones correctivas en ISO 37301

El apartado 10.2 de la norma ISO 37301 versa sobre acciones correctivas y no conformidades. Esta sección hace que el estándar sea bastante eficaz cuando se trata de implementar planes de cumplimiento y afines, si lo comparamos con otras alternativas que persiguen el mismo objetivo. Ello se debe a que ISO 37301 exige la mejora continua en cuanto a tres grandes aspectos:

• Eficacia del CMS: tras definir cómo se medirá el éxito del CMS (los indicadores son especialmente útiles para ello), es imperativo verificar si se han obtenido los resultados deseados, se audite el CMS y de acuerdo con los resultados se registren no conformidades, incumplimientos y oportunidades de mejora. Es crucial que el CMS se mejore continuamente.
• Capacidad del CMS: nuestro CMS debe ser pertinente para gestionar los riesgos y obligaciones de cumplimiento.
• Coherencia y armonía: esto implica que el CMS tome en cuenta los puntos relevantes del contexto, se identifiquen claramente los riesgos y obligaciones de compliance y exista entendimiento con las partes interesadas.

Gestión

Cuando surjan incumplimientos o no conformidades (NC) es primordial gestionarlas (controlarlas y corregirlas), actuar ante las consecuencias que sobrevendrán, evaluar si es posible eliminar las causas raíz de las NC, determinar las causas del incumplimiento o NC, llevar a cabo acciones correctivas, revisar la eficacia de las acciones correctivas y hacer cambios al CMS, en caso de que fuese necesario.

Sabremos si de verdad estamos mejorando si nos revisamos y analizamos con métodos que pueden ir más allá de la auditoría interna. Cada área o departamento de la organización cuenta con la autonomía suficiente para evaluar qué tan buenos son los controles ideados.

Es importante sondear el nivel de entendimiento y compromiso de la cultura de compliance que tienen los trabajadores. Si esto se hace periódicamente, los colaboradores cada vez estarán más al tanto del cumplimiento y los controles serán más robustos. En este sentido, ambos serán perfectos ejemplos de mejora continua.

Software Compliance de ISOTools ISO 37301

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta puede ser más fácil. Esto será así si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas. Por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 apartado 9

¿Alguna vez pusiste en duda la utilidad del ciclo PHVA? Todas las normas tienen que ver con el ciclo de Deming: planificar, hacer, verificar y actuar. El punto 9 de la norma ISO 37301 – Sistema de gestión de compliance (CMS) está dedicado, precisamente, a verificar. Engloba la evaluación de desempeño (9), seguimiento, medición, análisis y evaluación (9.1), entre otros.

Sin verificación nos encontraríamos en un ciclo interminable de hacer, sin comprobar en qué aspectos organizacionales debemos enfocar nuestros esfuerzos ni evaluar cuál es el grado de cumplimiento del CMS.

Si lo primordial es trazar objetivos de cumplimiento, entonces lo segundo en importancia vendría a ser precisar qué debemos monitorear y medir, cada cuánto tiempo se harán tales análisis, quiénes los llevarán a cabo, mediante qué métodos obtendremos los hallazgos, de qué forma guardaremos los resultados de las evaluaciones y en qué acciones se traducirá lo que se descubra. Siempre es relevante saber si cumplimos – y en qué medida – con las políticas, protocolos y reglamentos de la empresa, leyes y disposiciones nacionales, controles, entre otros.

Con los hallazgos obtenidos podemos tomar decisiones conscientes, inteligentes e informadas, puesto que nos estaríamos basando en datos y evidencias confiables. Estos conocimientos obtenidos son potencialmente valiosos si nos proponemos hacer crecer el negocio.

En ISO 37301 apartado 9, concretamente en el punto 9.1.2 del estándar nos conmina a servirnos de las fuentes de retroalimentación para que nos hagamos una idea de los niveles de cumplimiento de la organización. Ello incluye recibir información de diversas fuentes (trabajadores que denuncien irregularidades, clientes, controles de procesos y registros de actividades, proveedores, contratistas, entre otros) y brindar una mirada crítica y evaluativa con el fin de descubrir los porqués de los incumplimientos.

Los indicadores no mienten

Si necesitamos saber con certeza si los objetivos de compliance fueron conseguidos, ¿Qué debemos hacer? ¡medir! Los indicadores no engañan. ¿Cómo sabremos si la empresa se encamina hacia al cumplimiento, si el rumbo es correcto? ¡seguimos midiendo! Y es que los indicadores son una suerte de brújula, una radiografía que se le toma al sistema de gestión de compliance (CMS) y que nos revela, de forma confiable, en qué punto nos encontramos, y, por consiguiente, cuáles serán los próximos pasos. Los indicadores son el tema que expone la ISO 37301 en el apartado 9, específicamente en el punto 9.1.3 de la norma.

Para mejorar, necesitamos saber que nuestra labor es perfectible, conclusión a la que llegaremos tras medir. Una manera de percibir la evolución de los esfuerzos llevados a cabo podría ser gracias a gráficos que reflejen el estado del indicador en su fase inicial, cuál es la tendencia, riesgos, implicaciones y demás. Indiscutiblemente, la norma ISO 37301 orientará a las organizaciones comprometidas con el cumplimiento, pues apunta hacia sociedades más transparentes y justas.

Ninguna medición, análisis y evaluación estarían completas sin los informes de cumplimiento que resultan tras haber obtenido los resultados. El apartado 9.1.4 de la norma ISO 37301 tiene como propósito el reporteo. Esto garantiza que el desempeño del CMS es informado a las partes interesadas pertinentes.

Para cumplir con el mencionado punto podríamos crear una política de reportes de compliance y procedimientos de reportes en los que se precise

• Frecuencia de los reportes.
• Notificaciones a reuniones, citas y/o contactos con autoridades reguladoras.
• Cambios en cuanto a riesgos de compliance.
• Nuevos requerimientos, responsabilidades y obligaciones de compliance.
• Resultados de las mediciones.
• Incumplimientos hallados y acciones correctivas implementadas.
• Desempeño del CMS.
• Resultados de auditorías.

Los registros cuentan con carácter verificador y demostrativo, por eso esta clase de información documentada constituye evidencias. Si es menester comparecer ante la justicia, los registros de procesos y controles son probatorios de nuestras gestiones. De allí la importancia del mantenimiento de los registros (9.1.5), que debe ser el más adecuado posible, libre de adiciones, supresiones, omisiones, modificaciones, usos no autorizados y similares.

Una herramienta potente

La auditoría interna (9.2) es una de las herramientas más poderosas de las que podemos valernos para detectar equívocos que tal vez no sabemos que existen, y que, al conocer, nos darán una idea global de hacia dónde pueden apuntar nuestros esfuerzos y los del equipo de trabajo.

La norma ISO 37301 señala cómo deben llevarse a cabo las auditorías, establece que la compañía requiere planificar la realización de estos procesos con cierta regularidad, para que sea posible conocer si el CMS se ajusta a los requisitos de la empresa y a los de la norma. También para precisar si la implementación y mantenimiento resultan efectivos.

El punto 9.3 del estándar contempla la revisión por la dirección, que debería incluir también recomendaciones sobre:

• la necesidad de cambios en la política de compliance y en sus objetivos, sistemas, estructura y personal asociados;
• los cambios en los procesos de compliance para asegurar la integración eficaz con las prácticas operacionales y los sistemas;
• las áreas sobre las que hacer seguimiento de no cumplimientos de compliance futuros potenciales;
• las acciones correctivas respecto a los no cumplimientos de compliance;
• las lagunas o carencias en los sistemas del compliance actuales e iniciativas de mejora continua más a largo plazo;
• el reconocimiento de un comportamiento de compliance ejemplar dentro de la organización.

Los resultados de la revisión por la dirección (9.4) tienen que contener las decisiones que se han tomado tras analizar la información obtenida. Esto puede materializarse en informes documentados (no necesariamente de gran extensión) contentivos de los temas tratados, acciones propuestas, responsables, plazos y recursos para implementar dichas acciones, actas de reuniones, minutas, detección de oportunidades de mejora, necesidades de cambios del CMS, entre otros.

Software Compliance de ISOTools ISO 37301

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 apartado 8

Cómo plantear inquietudes, crear controles e investigar; a la norma ISO 37301 no se le escapa nada y estamos seguros de que si implementas este estándar de forma adecuada tendrás resultados sobresalientes.

El texto explica minuciosamente cuál debe ser nuestro proceder si queremos asegurar el éxito. Una muestra de ello es el apartado A.8, que lleva por título Operación. El primer punto (8.1) se trata de Planificación y control operativo y nos insta a crear un sistema de gestión de compliance robusto y que contenga una cultura de cumplimiento sostenida en políticas, procesos, procedimientos e identificación y evaluación de riesgos de compliance. Al leer este punto es evidente el énfasis que se hace en la creación de un código de conducta que recoja el compromiso de todo el personal y que sea acogido por cada trabajador de la organización

El otro aspecto relevante del 8.1 trata de controles, pero ¿Cómo podemos tener controles, de dónde surgen? Es muy importante tener en cuenta que ellos se derivan de los riesgos identificados. Mientras más personas se involucren en la identificación de riesgos, más probable será que existan controles efectivos.

Por último, estos controles tienen que estar recogidos en los procesos, ser extensivos a servicios de terceros y proveedores mediante la debida diligencia. Se debe crear un pacto que asegure que los subcontratados están verdaderamente comprometidos con el compliance y un acuerdo en el que se expongan las obligaciones legales y de compliance. Después de todo, la norma considera como socios a los servicios de outsourcing. ¿Qué se espera de la organización, en este sentido? Lo ideal es que supervisemos y controlemos los bienes, servicios y procesos relevantes para el sistema de gestión de compliance que suministren los terceros.

Orden y eficacia en la ISO 37301

Si continuamos leyendo la norma nos toparemos con el apartado 8.2 Establecimiento de controles y procedimientos. Allí se expresa que los controles deberían prevenir, detectar y corregir incumplimientos. También se puntualiza que los controles tienen que revisarse, actualizarse y comprobarse, para verificar que sean eficaces y que en la práctica sean tan buenos como cuando fueron creados. ¿A qué nos referimos con controles, concretamente? Pueden ser: autorizaciones, planes, evaluaciones, auditorías, políticas, procedimientos e instrucciones de trabajo documentados, precisos y fáciles de seguir; identificados claramente.

¿Implementar uno o más controles es muy costoso en relación con los beneficios que producen? No dudes consultar a un asesor experto si esto sucede. Además, asegúrate de medir la eficacia de cada control con una herramienta adecuada, puesto que hay diferentes tipos de controles, pueden ser preventivos, detectores, automáticos, manuales, entre otros.

¡Tengo una inquietud!

Sí, la norma ISO 37301 en su apartado 8.3 nos instruye acerca de cómo debemos expresar nuestras dudas, consultas y aprehensiones. En este punto titulado Plantear inquietudes queda claro que las sospechas, intentos y violaciones concretas a la política de compliance, código de conducta, requisitos y compromisos de cumplimiento deben ser tratadas como proceso visible, transparente y de fácil acceso para todos los colaboradores. Las declaraciones y/o reportes deben contar con carácter confidencial, así como la identidad de los denunciantes. Es vital disponer de canales de denuncias variados, que sean de conocimiento del colectivo y que el anonimato esté garantizado, para que el denunciante esté amparado y protegido ante cualquier posible represalia. Denunciar es un deber y un derecho, así necesitamos percibirlo y comunicarlo al equipo de trabajo.

Plantear para luego investigar

Una vez que las denuncias o inquietudes fueron formuladas debe activarse un proceso investigativo que aclare los hechos. Cuando los colaboradores sean testigos de que se llevan a cabo las indagaciones pertinentes, tendrán la certeza de que el compliance es un tema serio y que se tomarán las medidas disciplinarias que convengan. El punto 8.4 de la norma nos anima a hacer investigaciones imparciales, independientes y sin conflictos de intereses. ¿Qué haremos tras conocer los resultados de las investigaciones? Estaremos en capacidad de tomar decisiones justas y de mejorar el sistema de gestión de compliance tras haber evaluado, valorado y cerrado los casos.

Dependiendo de la gravedad y envergadura de las pesquisas, la dirección y el órgano de gobierno deben ser informados. Recomendamos enérgicamente mantener información documentada surgida de las investigaciones y crear un comité o grupo independiente que evalúe y dé seguimiento a las investigaciones.

Software Compliance de ISOTools ISO 37301

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 apartado 7

El punto 7 de la norma ISO 37301 – Sistemas de gestión de compliance es uno de los más extensos e importantes del estándar y se titula Soporte (en algunos estándares la traducción al castellano de esta sección se le denomina apoyo en la HLS).

A lo largo del desarrollo de este punto el texto hace hincapié en la relevancia de que existan los recursos necesarios para implementar el sistema de gestión de compliance (CMS), el personal sea competente en cuanto a compliance, el proceso de contratación sea transparente, entre otros. En vista de que son tópicos importantes, los desglosamos y explicamos en 12 claves para comprender el punto 7 de la 37301:

1. ¿Te ha dado la impresión de que en la organización se espera que las cosas simplemente sucedan como si se tratara de magia? Pues bien, el compliance no puede resolverse con implementos, equipos y trabajadores de aquí y allá, deben asignarse recursos tecnológicos, financieros, materiales y humanos destinados a establecer, implementar, mantener y mejorar el SGC. El punto 7.1 de la norma se refiere, precisamente, al tema de los recursos.

2. Como mencionamos en el punto anterior, los recursos humanos son primordiales. En la organización debería haber contribución continua de todo el personal como para que el área de compliance se encuentre cubierta y sea posible cumplir los requisitos de la norma. De no existir responsables, sería conveniente contratar externamente el compliance officer. En cualquier caso, el personal encargado tiene que ser competente para llevar a cabo las tareas de compliance que le toque desarrollar, tal como lo indica el punto 7.2 de la norma, referido a las competencias. ¿Cómo garantizar el cumplimiento de este apartado? Una forma eficaz de hacerlo puede ser crear un perfil de profesional ideal para determinado cargo y otro perfil real del trabajador. Ambos perfiles se pueden comparar y contrastar con el propósito de analizar qué competencias (educación, experiencia y formación) requiere el empleado y cómo se le pueden brindar.

3. En el CMS participarán todos colaboradores. Por esto es recomendable brindar capacitaciones puntuales por cada función del sistema de gestión. Es especialmente importante reforzar los conocimientos de quienes desempeñarán roles cruciales.

4. No olvides que existen diferentes maneras de recibir la formación en compliance: cursos, carreras, diplomados, charlas, mentorías, entre otras. ¿Las capacitaciones ya fueron hechas? ¡Fantástico! Solo recuerda mantener registros de cada una, pues ellas se convertirán en evidencias e información documentada.

5. El apartado 7.2.1 de la ISO 37301 trata sobre generalidades y es enfático en que las personas encargadas de compliance tengan la formación, educación y experiencias adecuadas. ¡Nada de improvisación! El compliance engloba aspectos financieros, administrativos, operativos y reputacionales. La falta de competencias del personal podría traducirse en riesgos capaces de paralizar la organización.
6. El proceso de contratación es abordado en el punto 7.2.2 de la norma y en él la palabra transparencia cobra relevancia, puesto que para contratar y promover personal debemos ser particularmente honestos. En este sentido, se sugiere estructurar el proceso de tal forma que no existan conflictos de intereses o tráfico de influencias. Además, solo podrán ser contratados quienes se comprometan a cumplir con las políticas, obligaciones y procedimientos de compliance.
7. ¿Existen funciones en que los trabajadores estén expuestos a los riesgos de compliance? En estos casos se deberá llevar a cabo un proceso de debida diligencia sobre el personal.

8. Revisar los objetivos de desempeño, las bonificaciones por logros obtenidos y otros incentivos, es conveniente porque estas medidas ayudan a fomentar el cumplimiento. Quienes incumplan también deberán someterse a acciones disciplinarias.
9. La formación es tan importante que el apartado 7.2.3 se dedica exclusivamente a ella. El texto indica que el personal requiere formación no solo al inicio de la contratación, sino que las inducciones deben impartirse regularmente y con la frecuencia que la organización estime. ¿Esto sucede porque ISO 37301 es particularmente exigente? No, simplemente el contexto es cambiante y las obligaciones de compliance varían. Por ejemplo, las leyes son modificadas o se promulgan nuevas, se involucran otras partes interesadas, surgen nuevos procesos o procedimientos, se crean nuevas políticas y reglamentos, entre otros. Te sugerimos crear un plan de capacitaciones y chequearlo cada cierto tiempo para verificar que se cumpla y se mantenga actual.
10. Asegúrate de construir una cultura de compliance basada en la consciencia. Para esto los trabajadores deben conocer por qué es importante el compliance, cuáles son los riesgos y consecuencias de incumplir, qué ganamos si cumplimos… la idea es que logremos que los trabajadores cumplan de manera voluntaria, que estén verdaderamente convencidos de hacerlo. ¿Qué te sugerimos para conseguirlo? Podrías servirte de herramientas como la gamificación (aprender jugando), videos informativos, trípticos y folletos, material interactivo, infografías, entre otros. De esto trata el punto 7.3 del estándar.

11. La comunicación (apartado 7.4) nos ayuda a dar a entender los fundamentos del compliance. ¿Qué debemos considerar? Aspectos que podrían entorpecer o dificultar la efectividad del mensaje, como diversidad cultural, idiomas y opiniones de otras partes interesadas. Aconsejamos la creación de un modelo de comunicaciones que contenga el tema a abordar, fecha, destinatarios, quiénes elaborarán las comunicaciones y a través de qué medios lo harán. De esa forma lograríamos estandarizar las comunicaciones de manera eficaz.
12. La norma ISO 37301 se refiere a la información documentada a lo largo del texto. Se exige dejar registros del alcance del CMS, de las obligaciones de compliance, política, objetivos y evaluación de riesgos. No es obligatorio contar con más información documentada que esa, pero sí es deseable que haya más información para poder garantizar la eficacia del CMS. Podríamos mencionar la importancia de contar con registros de las asignaciones de cargos, funciones y responsabilidades, procedimientos, políticas, planes, programas, acuerdos, códigos, manuales y demás. Esto constituye un control interno ordenado y confiable. Desde el apartado 7.5 hasta el 7.5.3 se refieren a la importancia de que la información documentada se encuentre disponible para las partes pertinentes, se controle adecuadamente la estructura documental y la información sea clasificada de forma adecuada.

Software Compliance de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 apartado 6

La planificación puede ser el terror de las almas libres y una bofetada al conocido y cómodo “dejar que fluya”. Pero en el mundo organizacional las sorpresas que nos brinda la improvisación pueden conducir a una organización al final de su operación o costar cientos de empleos.

Por eso en este texto nos dedicaremos a explorar lo atinente a la planificación, tema que aborda la norma ISO 37301 – Sistemas de gestión de compliance en su punto 6 y abarca:

• las acciones para abordar riesgos y oportunidades,
• cómo trazar objetivos y lograrlos y
• la planificación de cambios.

El compliance es uno de esos temas que no admite cabos sueltos ni dejar el futuro al azar, requiere conocimientos, voluntad, compromiso y constancia.

Puede que los riesgos y oportunidades lleguen a la empresa de forma intempestiva, pero siempre es posible prepararse para gestionar con éxito uno y otro. Para esto es imprescindible:

• entender el contexto de la organización;
• comprender las necesidades y expectativas de clientes y partes interesadas;
• conocer las obligaciones de compliance.

El punto 6.1 de ISO 37301 trata de las acciones para tratar riesgos y oportunidades. En este apartado requerimos garantizar que sea posible lograr las metas previstas y que seamos capaces de prevenir y reducir/mitigar los riesgos. Como en todo sistema de gestión, la mejora continua debe estar asegurada e integrada como un proceso más. Si llegados a este punto te asalta la duda sobre qué hay que tener en cuenta al planificar el sistema de gestión de compliance (SGC la organización), te cuento que se trata de:

• Idear controles, planes de tratamiento y/o acciones para abordar riesgos y oportunidades.
• Precisar cómo se integrarán y aplicarán las acciones del punto anterior en cada proceso del SGC.
• Evaluar la eficacia de las acciones que ideamos.

Para crear controles es muy importante que sepamos qué riesgos de cumplimiento acechan a la organización, qué podría pasar y de qué manera abordaríamos cada escenario. Todas las posibles soluciones deben tener como asidero los resultados de la evaluación de compliance. Si deseamos resumir este punto, podemos decir que nos adelantaremos a los desastres (pequeños o grandes) que puedan ocurrir y pensaremos cómo hacerles frente. También sabremos qué hacer en caso de que surjan circunstancias favorables al negocio y sepamos cómo aprovecharlas. Esto no podría lograrse sin incorporar la gestión de compliance en todas las actividades y procesos de la organización. Para no perder el foco recomendamos fijar objetivos de compliance, tomar decisiones adecuadas sobre recursos a emplear e involucrados en el SGC.

Cada medida que decidamos implementar debe ser probada para poder aplicarla con confianza llegado el momento justo. Para esto se requieren evaluaciones como auditorías internas, técnicas de medición y/o la revisión por parte de la dirección.

Tabla 1: ejemplos de riesgos y oportunidades en sistemas gestión de compliance

La importancia de dar en el blanco

El punto 6.2 del estándar citado nos remite a los objetivos de cumplimiento y planificación para lograrlos. Para esto requerimos establecer objetivos de compliance en las funciones y niveles pertinentes.

La norma indica que estas metas deben: ser coherentes con la política de compliance, para no entorpecer el resto del sistema de gestión y funcionar como un todo afín de forma estratégica; ser medibles (si es posible), para poder saber qué tan eficaces somos, cómo podemos mejorar y si se está haciendo mal algo; tener en cuenta los requisitos aplicables, con el propósito de trabajar justo en lo que la empresa necesita, cabe destacar que la ISO 37301 forma parte de un grupo de estándares que tienen la aclaratoria que los objetivos deben ser medibles si es posible, pues si no es posible medirlo igual se puede establecer como objetivo y se describa que fue alcanzado o no mediante unas características preestablecidas ( ejemplo mejorar la cultura de compliance); ser comunicados en todos los niveles pertinentes e incluyendo a todos los que se van a involucrar en el CMS;  actualizarse según corresponda, para que por temas de cambios en los procesos y el contexto no corramos el riesgo de incumplir y estar disponible como información documentada, lo cual fortalece la capacidad de comunicarlo y ser entendido.

¿Objetivos listos?

Ejemplo de objetivos de compliance

• Mejorar la cultura de compliance.
• Mejorar la eficacia de compliance del año 2022 con al menos con 2 iniciativas de alcance corporativo.
• Aumentar el alcance del sistema de gestion de compliance en el año 2022 a los centros de operaciones xxxx y vvvvv.

Planificar = ganar 

La norma ISO 37301 rige todo lo concerniente al compliance y es una guía estupenda que nos indica qué es lo prioritario y cómo avocarnos a ello. Incluso pauta lo que debemos hacer si queremos llevar a cabo cambios en el CMS (apartado 6.3).

La planificación de los cambios es tan importante que ya no es un complemento más de la norma ISO 9001, sino que cuenta con probada relevancia en cada estándar que deseemos implementar.

¿Cómo empezamos? Emplearemos el siempre útil ciclo PHVA y abordaremos especialmente los cambios que puedan incidir directamente en los objetivos de compliance. Por eso planificaremos muy bien cada modificación que vayamos a hacer al entender por qué queremos ejecutar el/los cambios, qué consecuencias podrían ocurrir, con qué recursos contamos, si es necesario o no asignar nuevas responsabilidades y autoridades o reasignar estas.

Para gestionar los cambios se deben contar con esta relación.

Software Compliance de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 5.3.3 y 5.3.4

La Dirección en un sistema de gestión de compliance es u proceso que está compuesta por los líderes de la organización, la constituyen profesionales capaces de conducir al equipo de trabajo a la consecución del propósito y éxito corporativo.

La forma en que ellos gestionan recursos, diseña estrategias y modelan códigos de conducta se vuelven referentes de las conductas deseables. Por eso es tan importante que, al tratarse del sistema de gestión de compliance, la Dirección coopere y apoye la función de cumplimiento y anime al personal a contribuir de forma consiente al cumplimiento de obligaciones de cumplimiento. Acerca de esto ahonda el punto 5.3.3 de la norma ISO 37301 – Sistemas de gestión de compliance, dedicado a la Dirección.

Efectivamente, el cumplimiento es un tema transversal que atañe a cada nivel, área y proceso de la organización. Por eso la gerencia o Dirección no puede quedar excluida del estándar y cuenta con un punto en el que se detalla cómo se espera que actúen esos líderes. El resto del equipo de trabajo y el órgano de gobierno también se ven impelidos a comprometerse e involucrarse en las obligaciones del compliance. Como habrás adivinado a estas alturas, el compliance es una tarea de todos y nadie de la empresa debería quedar sin participar.

La forma más eficaz de garantizar el éxito del sistema de gestión de compliance (CMS) yace en que cada director sea garante de que en su respectiva jurisdicción se tracen y cumplan los objetivos planteados. Para que esto sea posible, tanto los gerentes como el personal requieren conocer qué papel desempeñarán en el sistema de gestión y qué se espera de ellos, es decir, entender cuáles serán las obligaciones de compliance que deben asumir y los riesgos legales, financieros, administrativos, y reputacionales a los que se enfrentan. La norma ISO 37301, en todo su conjunto, constituye una invitación a viva voz para que demostremos liderazgo y cumplimiento en todos los niveles de la organización.

Recomendaciones a los líderes

Como ser la autoridad responsable es una tarea ardua, nuestro equipo de expertos en compliance te entrega varias recomendaciones que harán más llevadera tu importante labor:

• Cuando exista más de un riesgo de compliance, puede delegar en otros la responsabilidad de tomar decisiones, de modo que el equipo se empodere.
• La toma de decisiones puede ser vista como un proceso, por lo tanto, se pueden implementar controles que la soportan. De esa forma, las decisiones más importantes se podrían tomar en colectivo, con un conjunto formado por profesionales encargados de diferentes aspectos y que cuidarían que no existan anomalías como los conflictos de intereses.
• ¿Ya te diste cuenta de qué hay que hacer y lo comunicaste, pero aun así no se hizo nada o el trabajo quedó a medias? Por eso es muy relevante que dejes evidencia de cada acción que deseas que se lleve a cabo. Es primordial que mantengas registros de correos, minutas de reuniones, jornadas de capacitaciones y concienciaciones.
• El tema de las evidencias sigue, y es que se requiere que, una vez identificadas las obligaciones y riesgos de compliance de cada área, se deje por escrito qué control regirá a cada responsabilidad y riesgo, cuáles son las tareas que se llevarán a cabo, qué se hizo y qué queda pendiente.
• Si el personal percibe que la gerencia está verdaderamente involucrada en cada área del CMS, en el registro de no conformidades, puesta en marcha de acciones correctivas, resolución de incidentes e inquietudes y mejoras constantes, estará inspirado y comprometido a seguir el camino que transitan los líderes.
• Los directivos pueden ser los puentes entre el personal y la alta gerencia. La libertad de estar en esa posición facilita tener a las autoridades al tanto del funcionamiento del CMS. También es importante que los mandos medios soliciten al órgano de gobierno y alta dirección los recursos necesarios para el desempeño correcto del CMS.
• Como autoridad reguladora y ejecutora, deberás ser íntegro y tener suficiente poder y autoridad para desempeñar tu rol. Cuando tomes una decisión, procura ser transparente y explicar tus motivaciones al equipo.
• La repartición de las responsabilidades de compliance debe hacerse de forma clara. Lo ideal es que te asegures de que todas las tareas que se hagan tengan un mismo propósito: cumplir los requisitos de la norma ISO 37301.
• ¡No temas pedir ayuda! Si el compliance abarca mucho más de lo que esperabas, no eres experto en leyes o no sabes por dónde empezar, recuerda que siempre puedes solicitar la intervención de especialistas ajenos a la compañía. Ellos tienen la misión de asesorarte y acompañarte en tu camino a la excelencia.

5.3.4 Personal en los sistemas de gestión de compliance

Se espera que todo el personal cumpla con las obligaciones de compliance que declare la organización en su CMS.   El personal debería asegurarse de que conoce sus responsabilidades de compliance, que normalmente se encuentra en instrumentos como la descripción de cargo y la estructura organizacional y ejecutando sus actividades de forma eficaz. Para ello, recibirán el apoyo de los elementos del CMS, como formación, políticas y procedimientos y el código de conducta.   El personal debería ser proactivo y contribuir al conocimiento y las mejoras que podrían ayudar en el desempeño del CMS frente a las partes interesadas.

El compliance es un tema que llegó para quedarse y cada día cobra mayor relevancia para usuarios y consumidores. Después de todo, siempre esperamos hacer lo correcto y ser clientes o socios de quienes cumplen.

Software Compliance de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 5.3.2

En ocasiones las normas no son tan específicas como deseamos y si queremos implementarlas de forma eficaz necesitamos encontrar el sentido de cada frase para saber de qué forma el estándar se relaciona con nosotros, nuestra organización y la forma en que asumimos los quehaceres, objetivos, operaciones, finanzas, administración, calidad, y, por supuesto, compliance.

Tal como un engranaje, cada elemento del sistema de gestión de cumplimiento cumple un rol vital para que el desempeño de este sea óptimo. La función de cumplimiento se encarga de que el CMS marche correctamente. Es decir, este apartado, que corresponde al número 5.3.2 de la norma ISO 37301 – Sistemas de gestión de compliance, es el más importante del estándar. ¿Por qué? Porque, aunque todos los puntos describen responsabilidades, lo que debemos hacer y lo que es deseable, la función de compliance abarca la mayor cantidad de obligaciones. A continuación, extraemos cada uno de los aspectos que atañen a la función de compliance según la norma:

• facilitar la identificación de las obligaciones de cumplimiento;
• documentar la evaluación del riesgo de cumplimiento;
• alinear el sistema de gestión del cumplimiento con los objetivos de cumplimiento;
• monitorear y medir el desempeño del cumplimiento;
• analizar y evaluar el desempeño del sistema de gestión del cumplimiento para identificar cualquier necesidad de acción correctiva;
• establecer un sistema de documentación y presentación de informes sobre el cumplimiento;
• asegurarse de que el sistema de gestión del cumplimiento se revise a intervalos planificados;
• establecer un sistema para plantear inquietudes y garantizar que estas se aborden.

¡Pero esto no es todo! La función de compliance debe supervisar que las obligaciones de cumplimiento se asignen correctamente en toda la organización y que estén integradas en políticas, procesos y procedimientos. Y como las responsabilidades no terminan, recomendamos que todo el peso del compliance recaiga en un equipo y no en una persona. En vista de que se requieren conocimientos sólidos y actuales sobre leyes, reglamentos, códigos y normas organizativas pertinentes, es viable la posibilidad de contratar un servicio externo que se encargue de estas tareas. Independientemente de que los quehaceres sean asumidos por miembros propios o ajenos a la organización, se les deben asignar los recursos necesarios, así como el personal, la información documentada y los datos pertinentes.

Un superhéroe del compliance ISO 37301

Si la organización en la que se imple mentará el SGC es muy pequeña o no existe la posibilidad de tercerizar algunas responsabilidades de compliance, podemos definir el alcance del sistema de gestión e instruir a los encargados de compliance en cuanto a las mejores prácticas de compliance, leyes aplicables, reglamentos vigentes, acuerdos y normas. Es importante que los encargados del cumplimiento estén versados en estos temas para que puedan impulsar operativamente el SGC mediante las actividades puntuales que la ISO 37301 detalla. ¿A qué te suena este perfil? ¡A nosotros se nos parece a un superhéroe del compliance! Y sus superpoderes tendrían que ser:

• La capacidad de definir el alcance del sistema de gestión.
• El poder de definir funciones y riesgos.
• La habilidad de crear la estructura de la función de compliance (es decir, qué tareas se llevarán a cabo y quiénes las ejecutarán).

Para que los villanos no ganen, cuando los puntos anteriores estén precisados, sería conveniente crear documentos que contengan los perfiles requeridos y quiénes asumirán cada labor, de modo que esté clara la forma en que se llevará a cabo – y por quienes – la función de compliance.

¿Y cómo quedará nuestro superhéroe? Pues creemos que un exceso de responsabilidades podría convertirse en una especie de kriptonita para este ejecutivo con capa. Por esto es importante que en cada área de la organización asuman roles puntuales que no debiliten a un encargado único. Recordemos que este personaje cuenta con buena fe e interés en la planificación, organización y construcción del sistema. Tan loables metas ameritan acompañamiento de un equipo de trabajo capaz de poner en práctica:

• Comportamiento ético.
• Control de la eficacia de las prácticas ejecutadas por y para el SGC y la introducción de los cambios necesarios.
• Garantizar la integridad, independencia y disponibilidad de los informes que den cuenta sobre cumplimiento.
• Asegurar una base eficaz para el compliance (coherente con el Estado de Derecho, promover la transparencia y eficacia, repartir claramente responsabilidades y definir autoridades supervisoras, reglamentarias y ejecutivas.
• Actuar entendiendo que la labor desempeñada influye en la reputación de la empresa, en los clientes internos y externos, en la economía nacional, en la integridad de los mercados y en el fomento de la transparencia.

Los instrumentos básicos con los que cuenta la función de cumplimiento según ISO 37301 son:

• Código de ética
• Programa de cumplimiento
• Canal de denuncias
• Proceso de investigación
• Revisión por la función de compliance.

Para instrumentarlos contar con herramientas de digitalización potenciaría la eficacia de la función de compliance, ISOTools cuenta con una Digital Compliance Office que sirve para gestionar desde un SaaS todas sus responsabilidades y autoridades y una interacción intuitiva con las partes interesadas que contribuye activamente con la mejora continua del sistema de gestión de compliance

Como recomendación final que hace la ISO 37301 en su anexo A: la función de compliance debería tener autoridad, respaldo e independencia.

Autoridad: significa que el órgano de gobierno y la alta dirección conceden poderes suficientes a la función de compliance.

Respaldo: significa que es probable que otros empleados escuchen y respeten su opinión.

Independencia: significa que el involucramiento personal de la función de compliance se encuentra lo más alejada posible de las actividades expuestas a riesgos de compliance.

Software Compliance ISOTools

Implementar un sistema de gestión compliance y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el Software ISOTools específicamente diseñado para abordar cada componente de un sistema Compliance con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 5.3

Dentro de una organización cada individuo cuenta con una posición particular desde la que hace sus labores y aportes. La empresa es un ente vivo y todo colaborador es una parte importantísima. En esta entrega abordaremos los roles, responsabilidades y autoridades (5.3) del órgano de gobierno y alta dirección (5.3.1) de acuerdo con la norma ISO 37301 – Sistemas de gestión de compliance. En los puntos citados el estándar establece las actividades específicas del órgano de gobierno y de la alta dirección que, como máximos responsables de la organización, deben llevar a cabo para garantizar el funcionamiento eficaz del sistema de gestión de cumplimiento.

Antes de adentrarnos en este tema, precisemos a qué nos referimos cuando hablamos de estas figuras:

• Alta dirección: la norma ISO 37301 (punto 3.3) la define como persona o grupo de personas que dirige y controla una organización al más alto nivel.
• Órgano de gobierno (apartado 3.21): según el estándar citado es una persona o grupo de personas que tiene la máxima responsabilidad y autoridad para las actividades, gobierno y políticas de una organización y ante la cual la alta dirección informa y por la cual la alta dirección es responsable.

¿Qué dice la norma respecto al ISO 37301 5.3?

Si parafraseamos el punto 5.3.1 del estándar podemos concluir con que lo más relevante es:

1. Precisar y comunicar las funciones y responsabilidades clave para que el sistema de gestión de compliance (SGC) funcione bien. La alta dirección debe informar al órgano de gobierno sobre el desempeño del SGC, pero también tiene que rendir cuentas en caso de que no se alcancen los resultados previstos.
2. Al implementar un sistema de gestión es imperativo asignar recursos para el adecuado funcionamiento de este. Tanto el órgano de gobierno como la alta gerencia son los encargados de proveerlos. Ante las carencias existe la posibilidad de que no se alcancen los objetivos trazados.
3. Las autoridades deberían contar con un organigrama que especifique cuáles son las funciones clave del SGC, quiénes son los involucrados y responsables, qué competencias debe tener cada uno, entre otros aspectos relevantes.
4. Establecer sistemas de reporte eficaces es vital para el SGC. Por ejemplo, cada encargado podría emitir reportes mínimos y/o detallados con una periodicidad determinada. No deben dejarse de lado las evaluaciones de desempeño del personal (en cuanto a compliance), acciones correctivas y medidas disciplinarias.
5. Es primordial que se evalúe no solo si existe cumplimiento, sino que se determine el grado de este.
6. ¡No todo se trata de castigos! ¡En absoluto! Los altos mandos pueden crear políticas destinadas a beneficiar a quienes obtienen resultados adecuados y llevan a cabo conductas alineadas con la cultura de compliance.
7. El órgano de gobierno debe mantenerse al tanto del funcionamiento del SGC y tendría que ejercer una supervisión razonable de la adecuación, eficacia e implementación del sistema.
8. Nuestras autoridades tienen que encargarse de que el SGC cumpla con los requisitos de la norma ISO 37301.

¡No lo olvides!

Si queremos dar cumplimiento al requisito 5.3.1 de la norma no podemos olvidar que existen ciertas leyes en determinados países que establecen responsabilidades muy puntuales a los altos mandos. Por ello cada organización requiere considerar la legislación aplicable, puesto que algunas leyes hacen distinción entre la alta dirección y el órgano de gobierno. En otros casos las funciones varían entre el establecimiento de las políticas, estrategias y compromisos de cumplir los requisitos del sistema de gestión de compliance, entre otros.

Es especialmente deseable que los altos directivos y miembros del órgano de gobierno promuevan un comportamiento ético y  el compliance dentro y fuera de la organización, honrando acuerdos, contratos, convenios, reglamentos y códigos de conducta. Esto contribuye positivamente en cuanto a lograr las metas de cumplimiento. La ética no reposa en un código inerte, sino que requiere ser vivida a diario para que el impacto en los colaboradores se convierta en una influencia poderosa y capaz de moldear formas de comportarse y vivir los negocios y el trabajo.

Las figuras de autoridad expuestas en este texto son capaces de crear una cultura de compliance que se pueda interiorizar y aplicar en la organización. Esta cultura debe construirse con la participación de los colaboradores para que sea asimilada de la manera en que lo deseamos. Este trabajo colectivo, que surge del entusiasmo y compromiso de los altos medios ¿qué puede aportar? Los aprendizajes colectivos pueden crear valor y reivindicar la figura del empresario como paladín de la ética y cumplimiento. Esa es la clase de colaboradores que deseamos formar desde esta trinchera.

Software Compliance ISOTools

Implementar un sistema de gestión compliance y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el Software ISOTools específicamente diseñado para abordar cada componente de un sistema Compliance con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 5.2

Cuando los temas relativos al compliance se ponen difíciles en la empresa y surgen situaciones inéditas que implican disyuntivas acerca de cómo debemos proceder, es un acierto revisar la política de cumplimiento. Estamos seguros de que se cometerían menos errores si acudiéramos a este documento cuando es hora de tomar ciertas decisiones.

El apartado 5.2 de la norma ISO 37301 – Sistema de gestión de cumplimiento se refiere a la política de compliance. Pero ¿qué es una política? Se trata de pautas que rigen la forma en que la organización actúa, puesto que están en consonancia con los valores empresariales. La política de compliance es la postura de la alta dirección para establecer lineamientos y motivar a su equipo de trabajo a lograr un propósito.

Política

La política, en síntesis, sirve de guía para regular las conductas de las personas con respecto al compliance, en este caso particular. En la figura 1 se encuentra la posición relativa que tiene la política de compliance respecto al Liderazgo, esto destaca que es la clave de este componente y uno de los principales resultados del proceso de dirección.

El estándar textualmente apunta que el órgano de gobierno y la alta dirección deben establecer una política de cumplimiento que:

• a) es apropiado para el propósito de la organización;
• b) proporciona un marco para establecer objetivos de cumplimiento;
• c) incluye el compromiso de cumplir con los requisitos aplicables;
• d) incluye un compromiso con la mejora continua del sistema de gestión del cumplimiento.

Política de compliance

La norma también indica que la política de cumplimiento deberá:

• estar alineada con los valores, objetivos y estrategia de la organización;
• exigir el cumplimiento de las obligaciones de cumplimiento de la organización;
• respaldar los principios de gobernanza del cumplimiento de acuerdo con 5.1.3;
• hacer referencia y describir la función de cumplimiento;
• describir las consecuencias de no cumplir con las obligaciones, políticas, procesos y procedimientos de cumplimiento de la organización;
• fomentar la manifestación de inquietudes y prohibir cualquier forma de represalia;
• estar redactado en un lenguaje sencillo para que todo el personal pueda comprender fácilmente los principios y la intención;
• implementarse y hacerse cumplir de manera adecuada;
• estar disponible como información documentada;
• comunicarse dentro de la organización;
• estar disponible para las partes interesadas, según corresponda.

La política de compliance instrumenta el liderazgo en la organización y tiende puentes entre la cultura de la organización y su operación. En la Figura 2 se destaca la relación que tiene la política y el núcleo del modelo de compliance. Finalmente esta es la que instrumenta el liderazgo en la organización.

Algunas recomendaciones para ISO 37301 5.2

Como pudimos ver, la política debe ser un documento escrito y la norma ISO 37301 fija claramente los puntos a incluir en ella. En virtud de ellos recomendamos que:

• en el apartado b) “proporcionar un marco para establecer objetivos de la organización” se redacte la política enumerando su contenido para que luego pueda vincularse un objetivo a cada uno de sus numerales;
• la política sea un texto corto, de una extensión no mayor a 2 páginas;
• la política de compliance esté disponible para partes interesadas relevantes. Es importante dejar evidencias de esa comunicación, disponer de ella en los idiomas adecuados y exteriorizarla en el sitio web de la organización, en redes sociales y darlas a conocer antes, durante y después de cualquier: proyecto, transacción o asociación con una parte interesada;
• usar la política como referencia para lograr los objetivos y estrategias en materia de gestión de compliance;
• la alta dirección establezca, revise y mantenga la política de compliance y que el órgano de gobierno la apruebe y establecer frecuencia para su revisión frecuente;
• incluya el compromiso de cumplir los requisitos aplicables al sistema de gestión de compliance (obligatorios o no, como códigos de conducta, buenas prácticas, convenios internacionales, etc.).
• la política incluya exigir el cumplimiento de las leyes, acuerdos, reglamentos y disposiciones que sean aplicables a la organización.

Otras recomendaciones

• Cuando la norma expresa que la política “debe ser adecuada al propósito de la organización” se refiere a que se incluyan las actividades que realiza el core de la empresa, el alcance del sistema de gestión y los principales riesgos de compliance a los que esta debe hacer frente.
• La política debería ser tan explicita como para que contenga las principales directrices y acciones a llevar a cabo en materia de compliance.
• Dejar en claro que no habrá relajaciones a quienes planteen denuncias sobre incumplimiento y que los declarantes serán amparados bajo el anonimato.
• La política también debería señalar quiénes son los encargados de
  la función de cumplimiento y cuáles son las consecuencias de no cumplir con la política. De hecho, podría hacerse una referencia al instrumento disciplinario y/ o a las sanciones.

Una política viva

Una política de compliance bien elaborada y viva, que se pone en práctica en el día a día de la organización, es aliada fuerte de la consecución de los objetivos y, por ende, del crecimiento económico de la empresa y del país. El compliance contribuye a potenciar la competitividad de la compañía, mejora la imagen y reputación de esta y es capaz de aumentar la inversión. ¡Definitivamente, vale la pena cumplir!

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

¿Qué habría sido de los hunos sin la dirección del hábil Atila? Probablemente habrían pasado a la historia – si es que pasaban – sin pena ni gloria. El líder conocido como “el azote de Dios” llevó a sus tropas hasta conquistar Hungría, parte de Francia y Rusia y casi invadió Roma. En el caso de Alejandro Magno, con solo 32 años ya había conquistado el Imperio Persa. Sabes cuál es nuestro punto, ¿verdad? ¡Exacto!

El liderazgo y el compromiso son vitales cuando se trata de acometer grandes proyectos. Pensarás que no hay relación entre personajes históricos de gran relevancia y nosotros, los simples mortales que deseamos tener vidas tranquilas y hacer bien nuestro trabajo. Pero no es una tarea tan simple, el entorno VUCA (volátil, incierto, complejo y ambiguo), necesidad de adaptarnos a la tecnología y otros factores, hacen que se promulguen leyes, acuerdos y reglamentos constantemente. Por lo tanto, cumplir con todo esto es una conquista no menor, en la que las armas no son flechas ni hachas afiladas, sino las normas ISO, que nos indican cómo abrirnos paso en el mundo organizacional de forma adecuada, productiva, armónica con el medio ambiente, eficaz y sostenible.

Para conquistar el mundo organizacional sin que las fuerzas legales impidan que logremos cada objetivo, disponemos de un escudo excelente: la norma ISO 37301, que es su punto 5.1 se refiere a: Liderazgo y compromiso, Órgano de gobierno y alta dirección, Cultura de compliance y Gobernanza del compliance.

Jerarquías que funcionan

Un sistema de gestión de compliance no es diferente a cualquier otro sistema de gestión en cuanto al liderazgo: la alta dirección y mandos medios siempre fungen roles fundamentales en los que pueden y deben hacer que el o los sistemas implementados tengan cabida en todos los procesos y niveles de la organización. En el estándar que hoy nos ocupa, además, aparece un escalón aún más alto de la pirámide jerárquica: el órgano de gobierno, que será protagonista de este texto porque de él se esperan directrices como estas:

• Creación de políticas y objetivos de compliance compatibles con la estrategia empresarial.
• Apoyo en la integración de los procesos de compliance a los procesos del negocio.
• Entrega adecuada de recursos para un correcto funcionamiento y desempeño del SGC.
• Comunicación activa y frecuente de los aspectos más significativos del SGC.
• Seguimiento para verificar que los resultados previstos se cumplen.
• Dirección y apoyo al personal en todos los niveles.
• Promover la mejora del SGC.

Si queremos saber concretamente cuán involucrados están el órgano de gobierno y la alta dirección en cuanto el SGC podemos encontrar maneras de medirlo, como la redacción de una política de SGC, firmada tanto por órgano de gobierno y alta dirección; también es posible diseñar otras políticas y procedimientos de compliance de alto nivel, en el que sea palpable y evidente que tanto el órgano de gobierno como la la alta dirección aprueban los acuerdos y/o procedimientos. Al momento de reunirse, es muy útil que haya registro y minutas de lo tratado y pactado y que se converse periódicamente lo relativo al aporte de recursos y se evalúe el desempeño del SGC. La información documentada (como comunicaciones formales emitidas por los dos entes citados) en materia de compliance también serán particularmente útiles. Con esto nos referimos a folletos, |correos, eventos, charlas, nombramientos de encargados de tareas de compliance, entre otros. Si hay denuncias, reclamos, sugerencias de mejora, felicitaciones y afines, están deben ser registradas y notificadas a los superiores. También es deseable que desde las autoridades organizacionales se nombren a quienes ejercerán las funciones de compliance.

Hasta ahora hemos discurrido ampliamente sobre el liderazgo, pero ¿qué hay del compromiso? Recomendamos ampliamente que surja y se promueva desde las instancias más altas. La OCDE precisa que conviene expresar un apoyo y un compromiso fuertes, explícitos y evidentes por parte de la alta gerencia en relación con los controles internos, ética y programas o medidas de cumplimiento de la empresa. Parte de fomentar el compromiso implica que todo el equipo esté al tanto de las metas y expectativas de compliance, exista información clara y oportuna, se concientice constantemente sobre la importancia del cumplimiento y su relación con la ética, se cree sentido de pertenencia, haya apoyo, refuerzo positivo y negativo, entre otros.

El cumplimiento cabal es un desafío para líderes y equipos consolidados y capaces de trabajar por objetivos comunes. Hacer las cosas bien dentro de la organización es lo más parecido a una batalla que enfrentaremos. De nuestras acciones depende la forma en que seremos recordados: como grandes líderes que guían a legiones poderosas o como simples soldados más.

La Cultura de compliance en la ISO 37301 se entiende como “valores, ética, creencias y conductas que existen en una organización y que interactúan con las estructuras y sistemas de control de la organización para producir normas de comportamiento que conducen al compliance” y la misma estará definida y promovida por el órgano de gobierno, la alta dirección, los mandos medios y materializada por los colaboradores, es decir el mismo equipo de trabajo.

Los factores que pueden apoyar al desarrollo de una cultura de compliance, entre otros, son:

—        un conjunto claro de valores organizacionales claramente definidos y frecuentemente referidos para la toma de decisiones;

—        una dirección que implementa y respeta activa y visiblemente los valores en la mismo desarrollo de las actividades del negocio;

—        la cero tolerancia al no cumplimiento de compliance, con independencia de la posición y los resultados obtenidos al momento de la toma de decisiones;

—        guiar, entrenar y predicar con el ejemplo, en el día a día se forja el liderazgo y el líder es la imagen de la cultura;

—        aplicar la debida diligencia que representa una evaluación adecuada y oportuna de los colaboradores con funciones donde se concentran los riesgos de compliance;

—        contar con un programa de inducción y reforzamiento frecuente que enfatice la importancia del compliance y los valores de la organización

—        definir un plan de formación continua en compliance, que incluye actualizaciones de la formación a todo el personal y a las partes interesadas pertinentes, basados en experiencias por parte de la organización u otras entidades del mercado;

—        la comunicación continua de las cuestiones de compliance como logros, incidentes, desviaciones y cambios;

—        los sistemas de evaluación del desempeño que consideren la evaluación del comportamiento de compliance y que incluyan reforzamiento positivo a aquellos colaboradores que tengan un desempeño deseable respecto al logro de objetivos y parámetros clave de compliance;

—        un reconocimiento visible, oportuno, público y abundante respecto a los logros en la gestión del compliance y en sus resultados;

—        las medidas disciplinarias rápidas y proporcionadas en caso de infracciones de las obligaciones de compliance intencionadas o negligentes, para ello se pueden contar con un código de ética y un proceso disciplinario adecuado a la dinámica de la organización;

—        una relación clara entre la estrategia de la organización y los roles individuales, que enfatizan el compliance como esencial para alcanzar los resultados de la organización, los colaboradores deben tener clara la alineación entre estrategia y compliance;

—        la comunicación abierta y adecuada sobre el compliance, interna y externamente, para ello se pueden usar las RRSS, intranet, páginas web.

Una de las preocupaciones de los líderes  es cómo se generan las evidencias de una cultura de compliance, pues esta subyace en las conductas de las personas, recomendamos que se consideren las siguientes acciones y compromisos:

• implementar los factores mencionados anteriormente;
• con las partes interesadas (especialmente los colaboradores) creen que se han implementado los factores identificados;
• los colaboradores entienden la relevancia de las obligaciones de compliance relativas a sus propias actividades y a las de sus unidades de negocio;
• las acciones correctivas para abordar los no cumplimientos de compliance se asumen como propios y se gestionan en todos los niveles adecuados de la organización cuando sea necesario;
• se valora y se reconoce el papel de la función de compliance y sus objetivos;
• a los colaboradores se le permite y anima a plantear inquietudes relativas al compliance al nivel adecuado de la dirección y con los recursos facilitados como canales de planteamiento de inquietudes, incluyendo a la alta dirección y al órgano de gobierno.

Las principales recomendaciones relacionada con la cultura de compliance para la organización debería:

1. hacer seguimiento, medición, análisis y mejora de su cultura de compliance;
2. recabar aportaciones objetivas de los colaboradores para determinar si perciben el compromiso de compliance del órgano de gobierno, la alta dirección y la dirección media;
3. establecer planes de acción eficaces basados en los resultados de los indicadores de la cultura de compliance de la organización.

Finalmente, el apartado de la 5.1 aborda lo que es la gobernanza del compliance entendida como el conjunto de política, lineamientos y acciones para asegurar el  que el sistema de gestión de compliance cumpla su propósito. Los líderes ejercen la gobernanza del compliance si se apoya en los siguientes principios fundamentales:

• La función de compliance tiene acceso directo al órgano de gobierno y a la alta dirección.
• Contacto directo de la función de compliance con otra persona o personas con la máxima autoridad para actuar.
• Asegurar los recursos financieros, tecnológicos y materiales para la función de compliance

Esto beneficia directamente al órgano de gobierno y a la alta dirección de forma que pueden ejercer sus tareas. Este acceso debería planificarse y ser sistemático. Por ejemplo, la función de compliance podría tener una línea de información directa con el primer ejecutivo (CEO) y una línea de información discontinua con el comité de auditoría, el presidente o con toda la junta.

La función de compliance debería ser independiente y no estar en conflicto con la estructura de la organización u otros elementos. Son libres para actuar sin ninguna interferencia con la línea de mando.

Este compendio de acciones, darán la potencia necesaria para que lo líderes de la organización hagan del sistema de gestión de compliance una campaña digna de ser recordada como cualquier logro de los grandes líderes de la historia sobre todo por el contexto de los tiempos que vivimos.

La función de compliance tiene autoridad. La función de compliance no es una posición menor que se pueda desautorizar o a la que puedan modificar sus informes o información los que tienen más autoridad. La función de compliance puede dirigir a otros empleados en caso necesario. La función de compliance debería tener voz (“voice at the table”) para defender y plantear cualquier inquietud relativa al compliance.

La función de compliance dispone de los recursos adecuados para apoyar a la organización a llevar a cabo el trabajo necesario y las responsabilidades del sistema de gestión del compliance sin restricciones, incluido el acceso a la tecnología para permitir que el sistema de gestión del compliance sea exhaustivo y apoye de forma eficaz a la organización en el logro de sus objetivos de compliance.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

Luchar contra un fantasma que no se ve y que es capaz de derribar los sartenes de la cocina y de levantar las sábanas de la habitación mientras intentamos atraparlo sin éxito una y otra vez se parece mucho a implementar la norma ISO 37301 sin antes evaluar los riesgos de compliance a los que nos enfrentamos. La batalla está perdida mucho antes de empezar, puesto que un enemigo invisible tiene todas las de ganar. ¿Cómo podemos hacernos una idea general de ese monstruo de siete cabezas al que debemos dar pelea? Y antes de que digas que somos exagerados, te contamos que los efectos del incumplimiento son potencialmente devastadores y que no es dramático asegurar que incumplir puede ser tan terrorífico como un engendro agazapado en medio de la noche.

La ISO 37301 – Sistema de gestión de compliance, en su punto 4.6, referido a la evaluación de riesgos de compliance, nos da luces en 5 pasos:

1. La organización debe establecer el proceso de gestión de riesgos: identificar, analizar y evaluar sus riesgos de compliance basándose en la mejor práctica del enfoque basado en procesos. Lo básico es contar con una forma de gestionar sistemáticamente los riesgos
2. La organización debe identificar los riesgos de cumplimiento relacionando sus obligaciones de cumplimiento con sus actividades, productos, servicios y aspectos relevantes de sus operaciones. Para esto es muy importante que conozcamos cuáles son los compromisos de compliance: buenas prácticas, normas, contratos, reglamentos y leyes que rigen al negocio. Estar al tanto es fundamental porque si alguien ejecuta una acción indebida o toma una decisión sin ser consciente de la ley, es posible que incumpla.
3. La organización debe analizar los riesgos de compliance. El análisis consiste en combinar las probabilidades y consecuencia en una escala que permita determinar qué nivel de riesgo corresponde a cada uno de los riesgos identificados.
4. Los riesgos de cumplimiento se evaluarán periódicamente y siempre que se produzcan cambios materiales en las circunstancias o el contexto organizativo. Siempre insistimos en que lo único constante es el cambio, las leyes y acuerdos varían y no hacer seguimiento de estas es un craso error que nos lleva a incumplir. Es fundamental, además de conocer qué acciones nos harían fallar, familiarizarnos con las consecuencias de incumplir. Como ya mencionamos, nuestras conductas pueden llevar a la organización a no cumplir sus objetivos de compliance. Esa es una probabilidad y es vital saber el impacto que tendrá, para luego evaluar la situación según la escala de riesgos (altos, medios y bajos). Podemos hacerlo de forma cualitativa o cuantitativa. Posteriormente, esas evaluaciones deben compararse con el apetito por el riesgo de la empresa. En función de eso, se decide cuál será el plan de tratamiento de riesgos, que se divide en 3 grandes tipos: aceptar, transferir y mitigar.
5. La organización debe conservar información documentada sobre la evaluación de riesgos de cumplimiento y sobre las acciones para abordar sus riesgos de cumplimiento. Cuando nos enamoramos guardamos cada recuerdo preciado: fotos, cartas, envoltorios de bombones, entradas de conciertos, pétalos de flores… Al implementar normas ameritamos hacer lo propio: registrar cada evidencia de gestión que tenemos, amenazas potenciales, reportes, comunicaciones y la gestión de riesgos, en general. Esto no es comparable a una acción romántica, pero sin duda nos va a reportar beneficios.

¡No luches a ciegas!

El apartado 4.6 de la norma ISO 37301 se basa en la ISO 31000 – Sistemas de gestión de riesgos. ¿Te parece que somos muy quisquillosos en este punto? Te contamos que el análisis de riesgos es tan importante porque si pasamos por alto alguna amenaza capaz de materializarse, se incrementa la posibilidad de incumplir sin antes haber hecho nada para mitigarlo. Al saber con qué estamos lidiando podemos asignar recursos, responsables y procesos que faciliten la gestión de riesgos. Estos últimos se dividen en:

1. Riesgos inherentes: se refieren a todos los riesgos de cumplimiento que enfrenta una organización en un estado no controlado, sin las correspondientes medidas de tratamiento del riesgo de cumplimiento
2. Riesgos residuales: son los riesgos de cumplimiento no controlados de manera efectiva por las medidas de tratamiento de riesgo de cumplimiento existentes de una organización.

El Anexo A (4.6) se extiende en el análisis de riesgo cuando expresa que algunas de las consecuencias de incumplir están ligadas a daños personales y ambientales, pérdidas económicas, daños a la reputación, cambios administrativos y responsabilidades civiles y penales. ¿Quieres saber más? Continúa leyendo nuestros artículos relacionados con la norma ISO 37301 y entérate de los pormenores del estándar más poderoso que se ha publicado recientemente.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conoce más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

Sus intenciones son las mejores: se acerca al mundo del cumplimiento porque le importa actuar de forma correcta y que sus clientes y proveedores le perciban así. Por eso consigue el texto indicado: la norma ISO 37301 – Sistema de gestión de compliance. Pasea sus ojos por la computadora y trata de entender el estándar. Creía que se trataba de una suerte de pautas muy claras acerca de leyes con las que debe cumplir. Usted iba a anotar esas leyes y a convocar una reunión para saber con cuál la organización está al día y con cuáles no. También pensaba en presionar para que los incumplimientos fueran resueltos rápidamente y así zanjar el asunto. ¡Fácil y rápido! O al menos eso creía, pero la lectura del apartado 4.5 Obligaciones de compliance, expresa lo contrario. Continúa leyendo:

La organización debe identificar sistemáticamente sus obligaciones de cumplimiento resultantes de sus actividades, productos y servicios, y evaluar su impacto en sus operaciones.

La organización debe tener procesos establecidos para:

1. a) identificar obligaciones de cumplimiento nuevas y modificadas para garantizar el cumplimiento continuo;
2. b) evaluar el impacto de los cambios identificados e implementar los cambios necesarios en la gestión de las obligaciones de cumplimiento.

La organización debe mantener información documentada de sus obligaciones de cumplimiento.

Aquí toma un sorbo de café, se desajusta un poco la corbata, si es varón, y la chaqueta, si es mujer, y piensa, con razón, que el cumplimiento es un tema más extenso de lo que cree.

Antes de que renuncie y apegue el computador, le contamos que si bien no es tan sencillo como pensaba, tampoco es algo del otro mundo, y se lo demostraremos rápidamente, pues las obligaciones de compliance no son más que los requisitos con que debe cumplir la organización debido a los lugares geográficos en los que opera, la actividad que desarrolla y las regulaciones e imposiciones legales, administrativas y financieras que imponen los entes que regulan la actividad empresarial. Recomendamos que la organización cuente con procesos y rutinas para:

• Identificar las obligaciones de compliance, verificar si existen nuevos requisitos (leyes, reglamentos, disposiciones, permisos, licencias, sentencias, normas, protocolos, tratados, convenios, entre otros) para garantizar el cumplimiento.
• Definir cuáles son las obligaciones de compliance que aplican a cada departamento, función y actividad de la empresa para saber quiénes son los afectados y cuáles serían los riesgos de cumplimiento.
• La Alta Dirección requiere comprender y hacer entender a los colaboradores que los requisitos obligatorios no están por encima de los voluntarios. Ambos pueden encontrarse en una suerte de igualdad y pueden ser cumplidos.
• Establecer sanciones ante el incumplimiento es una forma concreta de crear la necesaria política empresarial de cero tolerancias. Incluso podemos encontrar recomendaciones al respecto en la norma ISO 37301.
• Las obligaciones no permanecen inmutables, las leyes pueden ser derogadas mientras se crean otras. También existe la posibilidad de que surjan nuevos acuerdos. El mundo cambia, y a veces lo hace con extrema rapidez. Por eso necesitamos establecer procesos coordinados que capturen nuevas obligaciones apenas se creen.
• Empecemos por poner orden en casa, cumplamos con nuestros propios requisitos. Esta labor, aunque podría ser las más sencilla, merece una especial coordinación entre todas las áreas de responsabilidad donde el alcance definido lo merezca.

Su voluntad también cuenta

El compliance no se trata de meras reglas que debe tolerar y respetar para que no sancionen ni cierren la empresa, sino que ofrece a la organización la posibilidad de ir más allá. Por ejemplo, nos permite asumir compromisos de compliance voluntarios, como los acuerdos a los que puede llegar la empresa con comunidades, entes no gubernamentales y clientes. También nos referimos a compromisos sociales o medioambientales, políticas, procedimientos, entre otros. Una de las posibilidades más convenientes tiene que ver con trazar códigos de conducta para los colaboradores. No es imprescindible ceñirse a ellos, pero se desea que los trabajadores asuman la relevancia que tienen, por ejemplo, valores como el respeto, responsabilidad, disciplina, tolerancia, integridad, honestidad, entre otros. Aunque para materializar lo deseado dependemos de la voluntad de quienes quieran adherirse, los compromisos no obligatorios son tan importantes como los que sí son ineludibles.

¿Se siente mejor o aún le preocupa la norma ISO 37301? Le invitamos a seguir al tanto de nuestros textos, que pretenden revisar todos los puntos de este estándar y explicárselos de forma minuciosa y detallada. ¡Estamos con usted en cada etapa de su camino hacia el cumplimiento!

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

Los artículos, seminarios web, cursos y diplomados sobre la norma ISO 37301 que ofrecemos casi a diario en ISOTools te deben haber dado una idea muy clara: el estándar llegó para posicionarse como uno de los más importantes. Incluso podríamos plantearnos una pregunta que nos llevaría a reflexiones considerables: ¿será posible que la ISO 9001, piedra angular de las normas, ceda su trono a la 37001? Y es que sin compliance no puede haber calidad por garantizar porque, de hecho, sin compliance no hay nada.

Los más puristas podrían contraargumentar que no cederán el sitial que ocupa la madre de todas las normas porque, de haber comprendido el leitmotiv de esta, no se habrían creado más normas. Seamos honestos: ¿tan corrompidos estamos como para necesitar que la Organización Internacional de Estandarización elabore pautas constantemente que nos ayuden a:

• No arrasar con el medio ambiente debido a la actividad organizacional (ISO 14001).
• Intentar que los colaboradores no mueran o se enfermen mientras hacen sus labores (ISO 45001).
• Garantizar que los alimentos sean aptos para el consumo y no nos enfermen (ISO 22000).
• Cumplir con las leyes, requisitos, disposiciones y reglamentos que atañen a la organización (ISO 37301), entre otros estándares sobres los que podríamos discurrir en decenas de párrafos.

Cumplir para seguir

¿Cuál estándar es más importante? Descubrirlo no es la pretensión de estas líneas. Lo que sí nos interesa precisar es que cumplir es un punto de partida para operar de manera adecuada, y que el compliance contribuye en el éxito y sostenibilidad de la organización. Y, ¿qué implica el compliance en concreto?  Se trata de cumplir con las obligaciones de forma sistemática y continua. Para esto la cultura de cumplimiento tendría que:

• Estar integrada en la cultura empresarial y
• Ser parte del comportamiento y actitudes de directivos, líderes y colaboradores.

Sobre los puntos antes mencionados hace referencia puntual la norma ISO 37301 – Sistema de gestión de cumplimiento (SGC) en su apartado 4.4:

Sistema de gestión de cumplimiento

La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión del cumplimiento, incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de este documento.

El sistema de gestión del cumplimiento debe reflejar los valores, objetivos, estrategia y riesgos de cumplimiento de la organización, teniendo en cuenta el contexto de la organización (ver 4.1), el compliance de las leyes pertinentes, las normas de la organización, las mejores prácticas generalmente aceptadas, y las expectativas de la comunidad (además de la propia ISO 37301).

¡No desesperes! Hay una traducción muy fácil de entender sobre el estándar: el apartado nos conmina a integrar estructuras, políticas, procesos y procedimientos esenciales para lograr los resultados deseados en cuanto a compliance, y a actuar para prevenir, detectar y dar respuesta a los incumplimientos.

ISO 37301 no es una lista de chequeo

Si el punto 4.4 te da la impresión de que la norma se trata de una lista de chequeo que contiene con qué organismo y ley se debe cumplir y solo necesitas verificar si ya lo hiciste, no estás en lo cierto. Tal vez lo que esperabas era esa tabla que se puede resolver con un sí o un no (o varios de ellos), y es bueno que sepas cuanto antes que no, y que te enteres por nosotros: expertos que te diremos de qué sí se trata el punto 4.4. Empezaremos por aclarar que:

• La norma está basada en la estructura de alto nivel de las normas ISO. Es decir, si implementamos un SGC no solo requerimos cumplir con los requisitos que la ISO 37301 plantea, sino que necesitamos demostrarlo mediante evidencias. ¿Ya está hecho? ¡Excelente! Ahora falta mantener el SGC, revisarlo y mejorarlo continuamente.
• El apartado 4.1 hace necesario el equilibrio entre tomar acciones y medidas que no sean tan simples e ineficaces, pero que tampoco sean tan complejas, burocráticas y caras como para entorpecer su ejecución.
• La practicidad es fundamental. Por eso los objetivos del SGC han de ser proporcionales y razonables con respecto a los riesgos de compliance a los que se enfrenta la empresa.
• ¿Qué debe aportar la alta dirección? Entre otras cosas, un compromiso verdadero en cuanto a prevenir, detectar y enfrentar el incumplimiento en relación con negocios o actividades de la organización.
• Es recomendable que, si existen riesgos de incumplimiento en varias transacciones o actividades, la evaluación del riesgo, procedimientos y controles implementados por una organización involucrada en negocios de alto valor, sean más amplios que los implementados por una empresa que, por ejemplo, venda artículos de poco valor a muchos clientes o haga transacciones pequeñas con un solo grupo.
• Una de las claves de la eficacia y prevención del SGC es la evaluación de riesgos de compliance. ¿Qué debemos tomar en cuenta? Podríamos empezar con las personas y puestos potencialmente expuestos, y en función de eso, establecer controles, formación, documentos y demás medidas alineadas con los niveles de riesgo analizados.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

Todo tiene su límite, y en el caso de las normas ISO esta aseveración es absolutamente conveniente porque es muy necesario demarcar los aspectos en que se enfocarán nuestros esfuerzos. De esto, precisamente, versa el apartado 4.3 de la norma ISO 37301 – Sistema de gestión de compliance, y que tiene por título “determinación del alcance del sistema de gestión de compliance”.

El estándar no cuenta con una definición del término alcance, pero acá lo explicaremos como una forma de delimitar las operaciones, actividades, lugares, obligaciones y riesgos de compliance con los que opera una organización, y que están sujetos a los lineamientos establecidos para el sistema de gestión.

La norma establece la obligación de que el alcance esté disponible como información documentada. Pero ¿qué considerar y qué documentar?

• Contexto de la organización (apartado 4.1 del estándar): El Anexo A de la norma ISO 37301 apunta a que conocer el contexto nos ayuda a enfocarnos en la planificación, implementación, operación y mejora del sistema de gestión del compliance. Se trata de conocer quiénes somos, como organización, hacia dónde vamos, qué deseamos lograr, a qué riesgos nos enfrentamos y qué obstáculos existen para que logremos nuestros objetivos.
• Necesidades y expectativas de las partes interesadas (apartado 4.2 de la norma): Es imperativo precisar quiénes son las partes interesadas del negocio y cuáles son los requerimientos de estas en función al SGC.
• Límites geográficos: ¿En qué zona (s) opera la compañía? ¿Debe atenerse a legislaciones nacionales o internacionales? ¿El sistema de gestión del compliance se implementará en toda la organización, en una unidad específica o en una función específica dentro de la empresa?
• Límites organizacionales: Necesitamos dilucidar si la organización es parte de una multinacional, si cuenta con sucursales, cuáles de ellas serán parte del sistema de gestión de cumplimiento, si es controlada o controlante. También es vital conocer quién y cómo se tomarán las decisiones del SGC, es decir, si se hará de manera centralizada o si cada filial tomará sus propias decisiones.
• Riesgos de compliance: Uno de los elementos primordiales de la documentación de un CMS tiene que ver con la identificación, análisis y valoración de los riesgos de cumplimiento. Y no solo eso, también es necesario que en la organización relacionen sus obligaciones de compliance (compromisos, leyes, contratos y requisitos) con sus actividades, productos, servicios y aspectos relevantes de las operaciones.
• Independiente, exclusivo o integrado: ¿El sistema de gestión de compliance será el único en implementarse, se integrará a otros sistemas de gestión o será independiente de estos?
• Obligaciones de compliance: Nos referimos a la legislación, requisitos, reglamentos y compromisos adquiridos por la organización en las zonas en las que opera la empresa y normas internas a las que debe acogerse.
• Precisión antes que todo: El sistema de gestión del compliance debe reflejar los valores, objetivos, estrategia y riesgos de compliance de la organización.
• Atributos imprescindibles: Es deseable que el SGC se rija por los principios de buen gobierno, proporcionalidad, integridad, transparencia, responsabilidad y sostenibilidad.

En función a esto tendremos todos los elementos necesarios para:

• Definir las fronteras y aplicabilidad del CGC.
• Plantear un alcance que será recogido como información documentada y estará disponible como tal.

¿Dónde ubicarlo? Es común encontrar el alcance del sistema de gestión en la política del sistema de gestión de compliance, en el código de conducta, en el manual del sistema de gestión o en algún documento de gestión de esas características. Podemos elegir los textos y composiciones de nuestra preferencia, siempre y cuando los documentemos, y la norma es insistente al respecto tanto en el cuerpo principal del estándar como el Anexo A.

¿Te cuento algo que parece obvio, pero no lo es tanto? La información documentada no es un documento ni un compendio de papeles que no nos permiten sacar conclusiones. Se trata de pruebas que demuestran con evidencias que el sistema de gestión de compliance cumple con los requisitos de la norma ISO 37301, se llevaron a cabo los procesos adecuadamente y se hicieron las auditorías requeridas.

¿Pensando en implementar un sistema de gestión de compliance? En ISOTools somos los indicados para ello, nuestra experiencia nos consolida como los mejores del mercado.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Descubre más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

Si te quieres zambullir de lleno en la norma ISO 37301, pero sientes que hay muchos detalles que no comprendes del todo, una vez más en ISOTools estamos listos para socorrerte y explicarte punto por punto de qué va este tema del compliance, un asunto del que todos hablan y que va cobrando relevancia conforme pasa el tiempo. Se hacen debates, simposios, webinars y hasta hay una norma ISO para implementar todo un sistema de gestión de compliance (CMS, por sus siglas en inglés). Vale la pena profundizar y hoy lo haremos al adentrarnos en el apartado 4.2 del estándar, que se centra en la comprensión de las necesidades y expectativas de las partes interesadas.

Para avanzar es preciso tomar en cuenta que se define en el término 3.2 una parte interesada como: “las personas u organizaciones que pueden afectar, ser afectadas o percibir que son afectadas por una decisión o actividad”, tenemos algunos ejemplos como:

¿Cómo abordar este apartado? Tenemos que identificar cuáles son las partes interesadas de nuestra organización y cuáles son los requisitos de estas en relación con el sistema de gestión de compliance. Estas personas y entes empresariales no se mantienen inmutables, sino que pueden cambiar según el contexto. De allí la necesidad de revisar periódicamente, como un proceso quiénes dejaron ser pertinentes y quiénes se incorporaron, para que el CMS sea eficaz y pueda mejorar continuamente su eficacia.

De acuerdo con la norma ISO 37301, es necesario que la organización determine los requisitos y necesidades de las partes interesadas. Es decir, es necesario conocer los requisitos de las partes interesadas que ya identificamos. ¿Qué debemos tomar en cuenta primero? Las necesidades y obligaciones inherentes al sistema de gestión de Compliance, por ejemplo:

• Cumplir con los deberes fiscales (como declaración y pago de impuestos, entre otros).
• Estar al tanto de la promulgación de nuevas leyes y reglamentos.
• Evitar estar en deuda con los pagos de imposiciones legales y beneficios de trabajadores.
• Contar con información documentada al día, como contratos con clientes y proveedores.
• Creación de códigos de ética y conducta, manuales de buenas prácticas y procedimientos destinados a evitar conflictos de interés, malentendidos e incumplimiento.
• Honrar los compromisos con los socios de negocio.

Las necesidades de las partes interesadas van desde requisitos obligatorios hasta expectativas no obligatorias y compromisos voluntarios asumidos por las partes. En el anexo de la norma ISO 37301 se expone que los obligatorios son requisitos formales, como leyes, reglamentos, permisos y licencias, y acciones gubernamentales o judiciales. En cuanto a los voluntarios, no existen explicaciones en el estándar, pero se trata de acuerdos verbales o contractuales que resultan convenientes para quienes suscriben los pactos o normas de cumplimiento voluntario como la ISO 9001, ISO 45001, ISO 14001, entre otras.

¿Cómo identificar a las partes interesadas y sus requisitos?

Podríamos considerar lo siguiente para conseguirlo:

• Formar grupos de trabajo multidisciplinarios.
• Dar lugar a las tormentas de ideas, debates y demás técnicas de discusión.
• Estudios y entrevistas con las partes interesadas.
• Encuestas de satisfacción.
• Estudios de mercado.

Todos los hallazgos sobre partes interesadas y sus requisitos requieren ser registrados mediante informes, con el fin de garantizar la eficiencia del CMS. No dejar constancia de los datos recabados daría lugar a equívocos, imprecisiones y confusiones innecesarias. Este apartado puede abordarse de forma idónea si logramos precisar de qué manera interactuamos con cada parte interesada.

Interés e influencia

La norma ISO 37301 aclara que es imperativo determinar cuáles requisitos de las partes interesadas se abordarán a través del sistema de gestión del compliance, puesto que el CMS tiene capacidades, límites y fronteras con base en los recursos disponibles por parte la organización que lo implementa. Y cuanto antes las conozcamos, mejor será.

Cumplir con el apartado 4.2 de la norma podría resultar más sencillo si determinamos cuál es el grado de interés y el nivel de influencia de cada parte interesada, lo cual definiría su pertinencia. Al contar con el inventario resultante y analizadas ambas variables tendrán que tomarse medidas pertinentes para relacionarse con las mencionadas partes. Existen elementos del CMS que podrían nutrirse significativamente gracias a estas revisiones. Un ejemplo palpable podría ser el análisis de riesgos de compliance.

¿Para qué determinar las necesidades y expectativas de las partes interesadas?

Este requisito es vital para el éxito del CMS porque nos permite hacer conexión entre las necesidades y expectativas de las partes interesadas pertinentes con los riesgos y oportunidades, que es el requisito 6.1 como indica el siguiente esquema:

Es decir que la determinación requisitos de las partes interesadas son una las entradas principales para los riesgos y oportunidades del CMS que tiene un carácter estratégico para el logro los objetivos de compliance, cumplir con las obligaciones de compliance identificadas y crear y proteger valor de los resultados de la evaluación de los riesgos de compliance.

Te invito a que sigas acompañándonos en estas lecturas guiadas de la norma ISO 37301, un estándar potente y que con cada día que pase será más relevante.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conoce más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 apartado 4.1 – Comprensión de la organización y su contexto

Si la norma ISO 37301 se te hace compleja porque su publicación es muy reciente o porque el tema de compliance abarca aspectos legales, financieros y administrativos difíciles de aprender de inmediato, tenemos una solución para ti: nuestros expertos de ISOTools se han dedicado arduamente a interpretar el estándar para aportarte conocimiento sobre los aspectos más relevantes de la ISO 37301.
¿Qué te ofrecemos hoy? Primero, te evitamos leer la norma completa, pues sabemos que si no estás familiarizado con los sistemas de gestión, la tarea puede ser molesta. Segundo, nos enfocamos en un aspecto primordial de la norma, se trata del requisito 4.1, que aborda la comprensión de la organización y su contexto.

La primera aclaración está referida a la necesidad básica de que reconozcamos que una organización no es un ente aislado, sino que forma parte de una comunidad, ecosistema, ciudad, país y continente regido por normas puntuales, y que, para integrarse y relacionarse de forma eficaz, requiere hacerlo desde una cultura y consciencia de cumplimiento, integridad, transparencia y honestidad en cuanto a la prevención de delitos y promover la transparencia y la buena relación con los requisitos de las partes interesadas, en general.

¿Por qué es importante cumplir? Las razones son muchas, pero las más relevantes son el ahorro y reducción de costes, riesgos y daños, aumento de la confianza de clientes y partes interesadas y mejora de la reputación de la empresa.

¿Cómo hacer que los colaboradores comprendan este punto? La alta dirección tiene que promover el compromiso de los colaboradores y socios de negocio, es un factor clave en el éxito de las políticas, procedimientos y programas de cumplimiento. Para lograr el apoyo requerido se pueden otorgar incentivos que motiven a cumplir. Los tipos de incentivos pueden ser financieros (bonos, ascensos, aumento de sueldo…), o no financieros (reconocimiento, formación, eventos, copeeración…).

¿Quiénes somos y hacia dónde vamos?

Aunque los filósofos se hacen estas preguntas desde los inicios de la profesión y hay miles de respuestas posibles, en las empresas necesitamos ser muy precisos al respecto. Es clave que determinemos:

• ¿La organización es de tipo jurídico o mercantil?
• ¿La empresa pertenece al sector público o privado?
• ¿Cuál es el nivel de internacionalización?
• ¿Busca o no el lucro?
• ¿Se trata de una empresa o grupo de empresas?
• ¿Cuáles son los órganos de gobierno y de administración?
• ¿En qué países y sectores opera la organización y cuáles son las leyes y regulaciones que se deben cumplir?
• ¿Cuál es la naturaleza, escala y complejidad de las actividades y operaciones de la compañía?
• ¿Cuál es el nivel de formación e idiomas del personal?
• ¿Cuál es la complejidad de los procesos y de las relaciones con las partes interesadas?
• ¿Qué actividades lleva a cabo la empresa y qué tan complejas son?
• ¿Cuál es la estrategia de negocio y de la organización?
• ¿Cuánta propensión al riesgo de incumplimiento existe?

Y todas las interrogantes que se consideren pertinentes para hacer un análisis completo para saber la realidad de la organización en un momento específico.

¿Qué o quiénes se oponen a que cumplamos nuestros propósitos?

Consideramos particularmente trascendental que seamos capaces de determinar cuáles son los objetivos de compliance de la organización y qué problemas existen dentro y fuera de la empresa que pueden atentar contra tales propósitos.

La norma ISO 37301 no establece un método concreto para hacer el análisis de contexto, por eso somos libres de emplear las herramientas de nuestra preferencia. Una de las más populares y completas es la matriz FODA (fortalezas, oportunidades, debilidades y amenazas), que contempla aspectos internos (debilidades y fortalezas) y externos (amenazas y oportunidades). Esta herramienta puede complementarse con informes de expertos (como abogados que expliquen el contexto legal y regulatorio), estudios sobre la competencia, estudios de mercado, el método Delphi, las 5 fuerzas de Porter, entre otros.

La empresa es libre de utilizar el o los métodos que más le convengan, también de combinarlos según su elección. Todo dependerá de los aspectos a analizar y la forma en que se desee abordarlos.

Los riesgos acechan

Mientras más ligadas estén las actividades empresariales a los gobiernos y a la Administración Pública, más riesgos existirán. Cuando se identifiquen las amenazas más importantes, se pueden elaborar planes de acciones que ayuden a potenciar las fortalezas, gestionar las amenazas y detectar y aprovechar las oportunidades. ¿Suena difícil? Bueno, no te mentiremos, el análisis no es un trabajo sencillo, por eso es que se debe hacer con el compromiso con las personas de mayor nivel de autoridad en las organizaciones. Pero para ello puedes contratar apoyo externo, siempre hay consultores experimentados dispuestos a ayudarte.

¿Qué recomendaciones hay para la comprensión de la organización y de su contexto en el marco de la ISO 37301?

El propósito del 4.1 es dar lugar a la comprensión de la organización (por ejemplo, estratégica) de las cuestiones relevantes que puedan afectar su capacidad de cumplir los compromisos que tienen con los socios de negocio y otras partes interesadas. Los conocimientos obtenidos se utilizan entonces para orientar el enfoque hacia la planificación, implementación, operación y mejora del sistema de gestión del compliance.

La comprensión del contexto consiste en un proceso para revisar toda la información disponible de la organización: lo que hace, dónde, cómo y por qué. Se realiza una evaluación de factores externos y factores clave por su impacto en la organización en términos de sus obligaciones de compliance.

Las obligaciones de compliance más obvias proceden de los contextos legales y regulatorios en los que una organización opera, pero las obligaciones o los riesgos también podrían surgir de otros factores internos que definen el funcionamiento de la organización y la entrega de sus bienes y servicios a sus clientes. La organización debería también considerar las tendencias futuras pertinentes que podrían tener un impacto, por lo tanto este proceso se debe repetir a intervalos planificados, y dada la dinámica actual, estos intervalos deberían ser de corto plazo para estar atentos del devenir de las circunstancias.

Los factores internos también deberían tomarse en consideración. En la ISO 37301 se incluyen algunos ejemplos. La lista no es exhaustiva, pudiendo haber otros que sean pertinentes para una organización y el alcance definido para su sistema de gestión de compliance. A continuación presentamos la lista que menciona la norma:

• el modelo de negocio, que incluye la estrategia, la naturaleza, el tamaño y el nivel de complejidad y sostenibilidad de las actividades y operaciones de la organización;
• la naturaleza y el alcance de las relaciones comerciales con terceras partes;
• el contexto legal y regulatorio;
• la situación económica;
• los contextos social, cultural y ambiental;
• las estructuras, políticas, procesos, procedimientos y recursos internos, incluyendo la tecnología;
• su cultura de compliance.

Finalmente, hay un debate intenso en que si se debería o no conservar información documentada del análisis del contexto, si bien la norma ISO 37301 no hace mención explícita a un requisito de contar con una evidencia documentada, la mejor práctica es que se conserven registros que permitan hacer revisiones periódicas y al estar documentada ayuda la continuidad del análisis y comprender mejor el historial de una organización, que como su contexto está en constante cambio.

¿Necesitas entender y aplicar otros requisitos de la norma ISO 37301? Entonces no te pierdas nuestros próximos artículos.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37002

Informar sobre irregularidades o los riesgos de incurrir en ellas es tan importante como la investigación y gestión de los casos. Sin denuncias no hay resolución de conflictos ni mejoras. Por supuesto, no pretendemos que se fomenten los chismes ni cotilleos de pasillo, sino que se emitan declaraciones que, tras indagar, lleven al esclarecimiento de las circunstancias. Como no es un tema menor, este año 2021 la Organización Internacional de Normalización (ISO) publicó la norma ISO 37002 – Sistema de gestión de denuncias, para que el proceso se ejecute de forma adecuada, se aliente la formulación de denuncias, se proteja al declarante, las denuncias sean tratadas de forma oportuna y en el momento correcto y se reduzcan las irregularidades acaecidas en la organización.

El reciente estándar tiene un propósito: combatir la corrupción y apoyar en compliance en todas sus manifestaciones. Hablar, denunciar, verbalizar lo que se hizo – o podría hacerse mal – es la vía para prevenir y detectar anomalías, mientras se acatan las políticas de la empresa y las obligaciones legales, sociales y medioambientales.

Para una gestión idónea de las denuncias, es pertinente que en la empresa se tengan en cuenta estos tres aspectos:

• Entender a la organización y su contexto: premisa crucial en todo sistema de gestión.
• Determinar el alcance de las denuncias de irregularidades: para precisar detalles como el idioma, plataformas disponibles, si el alcance será internacional o nacional, si las declaraciones se harán mediante canales internos o externos…
• Comprender las expectativas y necesidades de las partes interesadas: primero, hay que conocer qué esperan los posibles denunciantes y hacia qué personas irán dirigidas las denuncias, cómo se van a procesar estas, si se van a generar reportes, entre otros.

La tríada antes descrita es capaz de conseguir atributos imprescindibles de cara al sistema de gestión de denuncias. Estos son:

Confianza: un denunciante debe tener la absoluta certeza de que la declaración que hará permanecerá en el más incondicional anonimato, y que tanto su denuncia como su identidad estarán a salvo.

Imparcialidad: las investigaciones, medidas disciplinarias y casos derivados a otras instancias legales, administrativas o financieras tienen que abarcar a todos los departamentos y personas, sin distinción, según corresponda, sin que interfieran rangos, reputaciones, cargos, parentescos y afines.

Protección: la delicadeza y discreción rigen toda denuncia que llega a feliz término, pues entrañan la protección tanto de denunciantes como de denunciados.

El estándar cuenta con definiciones comunes en otras normas, pero también integra sus propios términos, como: denunciante, marcha mala, denuncia de irregularidades, función de gestión de denuncias, triaje, conducta perjudicial e investigación. En el siguiente apartado veremos más semejanzas de la ISO 37002 con otras normas.

PHVA en la ISO 37002

El ciclo Deming o PHVA está presente en todas las normas de sistemas de gestión, y la 37002 lo aborda de esta forma:

Planificar:

1. Acciones para planificar los riesgos y oportunidades.
2. Objetivos del sistema de gestión de denuncias y planificación para alcanzarlos.

Hacer:

1. Recibir informes de irregularidades.
2. Evaluar informes de irregularidades.
3. Abordaje de informes.
4. Conclusión de casos de irregularidades.

Verificar:

1. Monitoreo, medición, análisis y evaluación.
2. Auditoría interna.
3. Revisión de gestión.

Actuar:

1. No conformidades
2. Acciones correctivas.
3. Mejora continua.

Además, hacer y actuar cuentan con elementos comunes, como el liderazgo, compromiso, políticas, roles, responsabilidades, autoridades, recursos, competencias, consciencia e información documentada.

¿Qué podemos esperar al implementar la norma ISO 37002?

• Reducir el riesgo de incurrir en irregularidades mediante la percepción de un entorno controlado
• Optimizar la cultura y el buen gobierno de la organización.
• Mejorar la reputación organizacional en cuanto a transparencia, integridad y ética.
• Aumentar la confianza de clientes y partes interesadas, puesto que la empresa cuenta con una política de cero tolerancia ante sobornos, cohecho, corrupción, incumplimiento de leyes, entre otros.
• Motivar a los colaboradores comprometidos con los valores y la cultura de la organización.
• Incentivar la apertura, confianza y responsabilidad del equipo de trabajo.

Implementación urgente

La corrupción y el incumplimiento existen desde el inicio de la humanidad. ¿Son estos males inherentes a la condición humana? Si es difícil rastrear los orígenes de las irregularidades, más aún será demostrar que el ser humano es naturalmente perverso. Desde esta organización nos inclinamos por el optimismo y consideramos que el instinto que rige a las personas es la bondad. Sin embargo, existen situaciones que propician y exacerban la corrupción, como la impunidad, inequidad en los derechos y en los deberes, y, sobre todo, el silencio. La mudez es sinónimo de complicidad, y si queremos edificar un mundo mejor, la norma ISO 37002 les confiere orden y eficacia a nuestras palabras.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37120

En el momento en el que vivimos actualmente las ciudades asumen un nuevo protagonismo y liderazgo, ya que se convierten en nodos que organizan y articulan la economía en el mundo. Su buena gestión en lo relativo a prestación de servicios, sostenibilidad a largo plazo y mejora de la calidad de vida de sus ciudadanos es uno de los principales retos urbanos de este siglo. Es necesario utilizar el modelo de ciudad innovador basado en la eficiencia y en la inteligencia.

La norma ISO 37120 2018 “Desarrollo sostenible en las ciudades”. Indicadores para los servicios urbanos y la calidad de vida se considera como el estándar de referencia a nivel internacional entre la metodología de evaluación de ciudades.

Para estos indicadores y sus correlaciones se aplica un primer análisis visual mediante el diagrama de dispersión de cada correlación entre pares de indicadores, y después, un análisis estadístico que aplica técnicas de regresión lineal tales como el de correlación de Pearson.

El coeficiente de correlación de Pearson hace referencia a la naturaleza de la relación entre diferentes variables y se piensan para analizar variables cuantitativas: el conjunto de puntos resultante del diagrama de dispersión que tiene interés como primera toma de contacto para conocer la naturaleza de la relación entre dos variables. Si los datos, aunque se encuentren distantes, apuntan a una recta, es susceptible de transmisión, a continuación, el coeficiente lineal de Pearson.

Cuanto más estrecha sea esta nube de punto, menor será el margen de variación entre las dos variables y, por lo tanto, más acertados los pronósticos, lo que supone una mayor correlación y posibilidades de utilizar una variable que se conozca para predecir un valor de otra variable desconocida.

Esta técnica reúne diferentes propiedades que la hacen preferible a otras. Al operar con puntuaciones estandarizadas es un índice libre de escala de medida, y se utiliza para poder comparar variables con unidades de medida.

Cuando se calcula el valor de coeficiente de correlación se determina si cada valor que se consigue muestra que las variables X e Y se encuentran relacionadas en la realidad o tan solo presentan dicha relación como consecuencia del azar. La correlación entre dos variables significa que las dos variables comparten información y variabilidad. Establecer el origen de la causa es una cuestión que no se puede resolver solo con recursos matemáticos.

Con relación al tamaño de la muestra, en este caso de estudio el número de las ciudades analizadas es mayor que 30 y, además, supone un conjunto de población muy variado y amplio.

Aplicar estos sesgos ha sido solo un ejemplo de la diferenciación de los contextos y una oportunidad para resaltar posibles casualidades que surgen solo ene diferentes entornos y que necesitarían ser profundizadas en estudios posteriores, ya que al cambiar de forma ligera la muestra puede cambiar el resultado. Es necesario entender que para construir herramientas útiles y encontrar correlaciones aplicables a la realidad es necesario estudiar los diferentes sesgos ya que el contexto urbano es necesario a la hora de aportar posibles soluciones.

Los indicadores y sus correlaciones se ha aplicado un primer análisis visual mediante el diagrama de dispersión de cada correlación entre indicadores y, después, un análisis estadístico en el que se aplican técnicas de regresión lineal como puede ser el de correlación de Pearson.

El coeficiente de correlación de Pearson hace referencia a la naturaleza de la relación entre diferentes variables y se está pensado para analizar variables cuantitativas: el conjunto de puntos que resulta del diagrama de dispersión tiene interés como primera toma de contacto para conocer la naturaleza de la relación entre dos variables. Si los datos, aunque se encuentren distantes, apuntan a una recta, es susceptible de transmisión, a continuación, el coeficiente lineal de Pearson. Cuanto más estrecha es la nube de punto, menor será el margen de variación entre las dos variables y, por lo tanto, más acertados los pronósticos, esto supone una mayor correlación y posibilidades de utilizar una variable conocida para predecir un valor de otra variable que sea desconocida.

Esta técnica reúne algunas propiedades que la hacen preferible a otras. Al operar con puntuaciones que se encuentran estandarizadas obtenemos un índice libre de escala de medida, y sirve para poder comparar variables con diferentes unidades de medida.

Una vez calculemos el valor del coeficiente de correlación podremos determinar si cada valor obtenido muestra que las variables X e Y se encuentran relacionadas con la realidad o solo representan dicha relación como consecuencia del azar. En este sentido, la correlación entre dos variables solo significa que ambas variables comparten información y variabilidad. Establecer el origen de la información es una cuestión que no se puede resolver mediante recursos exclusivamente matemáticos.

Con relación al tamaño de la muestra, en este caso de estudio el número de ciudades analizadas es mayor que 30 y, además, supone un conjunto de la población muy variados y amplio.

La aplicación de estos sesgos ha sido solo un ejemplo de la diferenciación de los contextos y una oportunidad para resaltar posibles causalidades que surgen solo en algunos entornos y que necesitarían ser profundizadas en estudios posteriores, ya que cambiar de forma ligera la muestra puede cambiar el resultado. No obstante, es necesario entender que puede construir herramientas útiles y encontrar correlaciones que se aplican a la realidad siendo necesario realizar un estudio de los diferentes sesgos ya que el contexto urbano es necesario a la hora de aportar posibles soluciones.

Software ISO

En el artículo hemos hecho una pequeña mención a los sistemas de gestión. Pues bien, como era de esperar, al igual que todas las normas ISO, la ISO 37120 nos brinda un sistema de gestión para las ciudades. Y si en algunas ocasiones es bastante complicado llevar un buen control de cualquiera de los sistemas de gestión de una empresa u organización, imaginen el de toda una ciudad.

Por ello, lo más recomendable es evitar la gestión manual y decidirse a usar un software. Nosotros le ofrecemos el Software ISOTools Excellence. Las razones son simples, aparte del ahorro de tiempo, dinero y reducción de documentación física que implica utilizar un software de gestión, con ISOTools ganará muchos más beneficios.

El más importante en el caso de esta norma es su adaptabilidad. Ya que le permitirá adaptar los parámetros del software a lo exigido por la norma y no solo eso. El software permite la integración de varias normas, por lo que podrá controlar todos sus Sistemas de Gestión con un solo Software.

ISO 37301

Los valores nunca pasan de moda. Ellos encarnan las virtudes más deseables de las personas y forman parte de todo un entramado de creencias capaces de determinar la manera en que la gente piensa y actúa.  Los valores son inherentes a las personas, pero también a las organizaciones, puesto que estas son ciudadanos corporativos, que, al igual que los individuos, cuentan con deberes y derechos. Generar riqueza conlleva responsabilidades y compromisos con la sociedad y el medioambiente, y los valores son una forma de expresar y materializar esa responsabilidad empresarial que nos lleve al necesario cumplimiento que promulga la norma ISO 37301.

Podemos afirmar que los valores son capaces de encauzar a las organizaciones hacia la fabricación de productos de calidad, inversiones sociales, fomento de empleos, impulso de la economía, creación de productos y servicios que atiendan las necesidades de la gente. Cumplir con esto las llevaría a ser entes generatrices de bienestar y progreso que logran la coherencia entre la misión, visión, valores y las acciones del día a día: teoría y práctica en armonía.

Un buen ciudadano corporativo

Está claro que el objetivo primordial de una compañía es la obtención de beneficios económicos, pero ignorar sus responsabilidades puede convertir a la empresa en un mal ciudadano que incumpla con sus deberes y sea castigada con multas, cárcel o cierre definitivo. ¿Cómo puede llegar a ser todo lo contrario y convertirse en una figura ejemplar? Un buen comienzo sería:

• Llevar a cabo políticas y gestiones que impacten positivamente en el entorno.
• Ejecutar prácticas sustentables desde el punto de vista medioambiental.
• Cumplir con todas sus obligaciones legales y contractuales.
• Contribuir al bien de la sociedad.
• Fomentar la ética corporativa, integridad y honestidad.

Todos estos elementos mencionados tienen gran relevancia en la norma ISO 37301 y cuentan con una raíz: común: los valores. Pero no nos referimos a los valores lejanos de los sermones domingueros ni a esos de los que hacen gala los protagonistas de telenovelas, aquellos con profunda vocación de mártir. Los que nos atañen son esos valores que forman parte de nuestras mejores características individuales y que podemos extrapolar a la vida empresarial, a los valores que dan cuenta de cómo somos, lo que podemos lograr con disciplina y constancia y puede materializarse en productos excelentes. Valer es una palabra que proviene del griego «axios» (lo que vale, lo que tiene un precio, lo que todo el mundo considera digno de estimación). Y lo ideal es que ese algo forme parte activa de la vida y no que se quede en el terreno de los sueños.

Para el autor Jorge Yarce, la cultura de la empresa se perfila con base al conjunto de valores que a nivel individual y corporativo constituyen el estilo y forma de trabajo, determinan la motivación y llevan al ejercicio del liderazgo, en cuanto desarrollo del potencial de cada persona para influir positivamente en los demás. Lo que nos parece más relevante es que desde la dirección de precisen qué valores deberían regir en la empresa, cómo integrarlos a la vida de cada colaborador e idear las formas en que esos valores se hagan presente en la cotidianidad. Que la solidaridad, honestidad, responsabilidad, justicia, respeto, tolerancia y lealtad nos lleven a ser excelentes.

Los valores y la norma ISO 37301

La norma ISO 37301 se basa en el cumplimiento, y cumplir entraña convicciones que descansen en una base firme. Los valores son esa base, pues nos mueven a actuar de forma honesta, ordenada y justa. Es difícil imponer por decreto la actuación basada en valores. Es necesario ejemplificarlos, desearlos, vivirlos, percibirlos como parte de un compromiso consigo y con el resto. En este sentido, recomendamos la concientización, charlas, material didáctico y dinámicas grupales destinadas a sembrar valores que se incorporen a la vida y afloren en el trabajo de forma natural y podamos lograr cambios de actitud que nos lleven a construir juntos algo realmente grande y poderoso, que surja de la voluntad individual y corporativa. Al final, podemos resumir el tema en la necesidad de crear hábitos que nos conduzcan al cumplimiento. Desde esta óptica los valores son una ventaja competitiva porque nos impulsan a dar lo mejor, a ser optimistas, proactivos, comprometidos, y, sobre todo, cumplidos.

¿Dónde hace referencia la norma a los valores?

Podemos encontrar referencia a los valores como parte de la definición 3.28 “cultura de compliance: valores, ética, creencias y conductas que existen en una organización y que interactúan con las estructuras y sistemas de control de la organización para producir normas de comportamiento que conducen al compliance”, es decir representa un componente ineludible de la cultura de la organización

También en el apartado 4.4 donde encontramos el requisito “El sistema de gestión del compliance debe reflejar los valores, objetivos, estrategia y riesgos de compliance de la organización, teniendo en cuenta el contexto de la organización (véase 4.1).”  Es decir que la organización debería definir, promover y reforzar los valores como parte del CMS.

Luego aparece en 5.1.1 específicamente como una responsabilidad del órgano de gobierno y la alta dirección quienes deben: “establecer y defender los valores de la organización” Una de las principales funciones que se incorporan a las características de un buen gobierno corporativo.

Se recomienda que al tener unos valores publicados forma parte de la cultura de compliance, además que la dirección implemente y respete activa y visiblemente esto valores.

Con esto podemos concluir que los valores no son sólo beneficios subjetivos que tiene cualquier organización, sino que para quienes implementen la ISO 37301 deben contar con evidencia objetiva de cada una de estas recomendaciones para poder certificar su sistema de gestión de compliance.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

Ya estamos en una organización que implementa un sistema de gestión de compliance basado en la norma ISO 37301, ¡enhorabuena! Seguro has estado leyendo nuestros artículos y te has dado cuenta de que el cumplimiento es una forma valiosa de garantizar la continuidad del negocio y de fijar una posición firme en contra del financiamiento del terrorismo, sobornos, lavado de dinero y corrupción.

Además, percibes que hay riesgos que acechan a la empresa, algunos de ellos son:

• Vulnerar contratos de los trabajadores y proveedores.
• No pagar imposiciones, cotizaciones y demás beneficios laborales.
• Violar leyes y reglamentos del país.
• Mala reputación.
• Inadecuada gestión de activos.
• Conflictos de intereses.
• Incumplir acuerdos comerciales.
• Riesgos legales, financieros y operativos de toda índole.

Esto supone que contemos con un canal de denuncias confidencial y capaz de hacer seguimiento a las declaraciones que se presenten, también se requiere documentar los testimonios y hacer seguimiento a cada caso. La importancia del canal es considerable si tomamos en cuenta que puede prevenir delitos y detectar irregularidades antes de incurrir en riesgos penales capaces de generar multas, castigos, cierres y encarcelamientos.   Una vez que la denuncia es formulada comienza el proceso que nos atañe: el de investigación, que comprende de siete pasos:

• Acciones inmediatas: apenas la denuncia llegue al canal es crucial iniciar las investigaciones pertinentes. Las demoras no tienen lugar y es necesario empezar con las pesquisas que contribuyan a dilucidar la situación. Tales iniciativas ameritan precisión, discreción y que solo se impliquen las personas involucradas en los hechos. Las dilaciones pueden ser interpretadas como complicidad ante posturas antiéticas.
• Planificación de la investigación: Fijar el curso de las indagaciones ayuda a ordenar las acciones y los hechos ocurridos, lo que brinda claridad al caso e impide que se sigan pasos infructuosos. También sirve para evitar que se inmiscuyan personas ajenas al proceso y la investigación derive en un callejón sin salida que dé la impresión de que en la empresa imperan la impunidad y el descuido ante las irregularidades.
• Recopilación de datos: Una vez que la planificación está lista es necesario documentar la denuncia de forma pormenorizada y contrastarla con hechos. Para ello es recomendable ejercer una vigilancia en el área donde ocurrió la irregularidad, estudiar a los implicados y hacer entrevistas que contribuyan a registrar qué tan frecuente es que existan anomalías
• Organización de datos: Un montón de cifras, declaraciones y hallazgos por sí solos no tienen sentido ni representan un aporte relevante sin el orden necesario que permita tratar la información de manera idónea. Esto comprende jerarquizar y clasificar los datos, desechar elementos superfluos, corroborar y contrastar la información y elaborar los informes que llegarán a las personas pertinentes.
• Análisis causal: Una investigación bien hecha amerita brindar detalles y sus porqués. El curso de toda pesquisa lleva inexorablemente a un final, a una resolución del conflicto. Y para tener una perspectiva clara de todo lo ocurrido, más allá del final, los datos ordenados nos darán los motivos. La reflexión sobre las irregularidades e incumplimientos serán de utilidad para prevenir nuevas inconsistencias y fallas.
• Acciones preventivas y correctivas: En este punto ya contamos con datos organizados y analizados que tras dar en blanco con las causas de lo sucedido tienen la posibilidad de ayudarnos a hallar las acciones preventivas que impedirán que se cometan los mismos errores. En caso de incurrir en equívocos similares, es menester precisar cuáles serán las acciones correctivas que se aplicarán, teniendo como base las investigaciones hechas previamente.
• Informar los hallazgos: El último punto de nuestra lista es particularmente relevante porque una investigación engavetada no revestirá de utilidad para nadie, en ningún caso. Es decir, es tan importante hacer la investigación como comunicar los hallazgos obtenidos. ¿A quiénes informar? ¡A cada involucrado! Y, luego de que las gestiones lleguen a feliz término, es importante que todos en la organización sepan que las investigaciones sí existen, sí importan y sí ayudan a dilucidar cuestiones complejas. Dependiendo del asunto, sería útil que la investigación trascendiera y llegara más allá de los límites de la empresa, para que la imagen de transparencia, integridad, eficacia y transparencia llegara a oídos de clientes y partes interesadas, como agentes multiplicadores de buenas noticias. Ellas son importantes y merecen ser difundidas – tanto o más – que las reseñas sobre fraudes, sobornos y corrupción. Después de todo, los buenos somos más.

Estas son fases del proceso de investigación que naturalmente puedes implementar en tu organización, no obstante, el uso de la tecnología de la información le dará un alcance superior porque:

• Facilita la confidencialidad de los datos en los procesos
• Agiliza la visualización de los soportes
• Permiten analizar la gestión de forma ágil y encontrar oportunidades de mejora en forma integrada.

La investigación de compliance combinada con las potencialidades que tienen los softwares actuales le darán una ventaja competitiva a las organizaciones que lo implementen en conjunto.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

La cultura organizacional es un concepto que aún no asimilan en todas las organizaciones, pese a que toda empresa tiene una cultura, aunque sea inconsciente de ello, porque ella engloba las normas, las expectativas y los estándares de desempeño de la compañía, y no hay ninguna que funcione sin estos elementos. Si miramos más profundo dentro de la empresa y hacemos una radiografía a la cultura de compliance nos daremos cuenta de que también existe.

• ¿Pero disponemos del tipo de cultura de compliance que verdaderamente necesitamos?
• ¿Cumplimos con las leyes?
• ¿Qué percepción tenemos sobre el cumplimiento?
• ¿Qué haríamos en caso de incumplir? ¿Qué visión ofrecen los gerentes y directivos al respecto?

Para que la cultura de compliance no se encuentre a la deriva y se forme sin que haya una noción de su existencia, es menester dar pasos firmes hacia la concientización y comunicación de un aspecto crucial: todos los miembros de la empresa necesitan saber y entender que el incumplimiento atenta contra la supervivencia y continuidad del negocio. Y, por tanto, del sustento de todos. Más aún, es muy deseable que exista la idea concreta de que lo que se hace en la organización es fundamental para la sociedad y para la economía del país donde se desarrollan las operaciones. Pero ese país y esa economía cambian, y la cultura de compliance bien afianzada hará que la adaptación a esas transformaciones sea adecuada y definirá con qué valor de la cultura se gestionará cada cambio.

Los valores de la organización son relevantes porque confieren atributos claros con los cuales identificarse, por los cuales trabajar y otorgan sentido de pertenencia al equipo laboral. Con valores descritos y comunicados es ideal detectar la puesta en práctica de estos para premiar (de manera simbólica o con algún reconocimiento público) a quienes incluyan los valores de compliance en su día a día. Estos valores pueden ser:

• Honestidad.
• Integridad.
• Transparencia.
• Debido cuidado profesional.

Podemos hablar de que una cultura de compliance deseable existe cuando la totalidad de trabajadores tiene conocimientos sobre cumplir e incumplir y cuentan con creencias en común al respecto. Y cuando, entre todos, descubren o desarrollan formas de afrontar las nuevas leyes, regulaciones y dilemas éticos. Pero ¿cómo abordar aspectos tan amplios? Recomendamos:

• Identificar el objetivo principal del compliance en la organización y elegir las estrategias para alcanzarlo.
• Establecer las metas específicas de compliance que se deben conseguir.
• Determinar el camino para perseguir las metas, entre ellos elegir una estructura de organización y un sistema de recompensas.
• Precisar los criterios para determinar qué tan bien están logrando sus metas de compliance las personas, los equipos y los departamentos.
• Identificar los métodos para la comunicación y desarrollar un significado compartido en cuanto a los valores centrales.
• Establecer criterios para la pertenencia a grupos y equipos.
• Fijar las reglas para adquirir, mantener y perder poder y estatus.
• Desarrollar sistemas que propicien las conductas de compliance deseables y desalienten las indeseables.

La norma ISO 37301- Sistema de gestión de compliance cuenta con el apartado 6.1.1, referido a la cultura de cumplimiento. El estándar enfatiza que la organización debe desarrollar, mantener y promover una cultura de cumplimiento en todos los niveles dentro de la organización y apunta dos requisitos más:

• El órgano de gobierno, la alta dirección y la dirección deben demostrar un compromiso activo, visible, coherente y sostenido con un estándar común de comportamiento y conducta que se requiere en toda la organización.
• La alta dirección debe fomentar un comportamiento que cree y respalde el cumplimiento. Deberá prevenir y no tolerar comportamientos que comprometan el cumplimiento.

Estas recomendaciones que aportamos y los deberes que incluye la norma no bastan por sí solos. Ameritan el impulso que los líderes logran con ejemplo y comportamiento ético para con sus colaboradores, clientes y partes interesadas. Una cultura de compliance sólida motivan a que las autoridades de las organizaciones sean incapaces de aceptar sobornos, contaminar el ambiente, practicar el tráfico de influencias, incumplir contratos laborales, pagar los sueldos con retraso, ignorar imposiciones legales, acumular multas sin pagar o pedir prestados artículos que no devuelven.

Software para la gestión compliance

La norma ISO 19600 ha sido reemplaza por la norma ISO 37301, la cual, al ser certificable, precisará de seguimientos, auditorías, medidas, gestión de riesgos, etc. de los que dependerá la futura certificación

Ser pro tecnología y apostar por herramientas tecnológicas como el Software ISOTools para compliance, es una apuesta segura, ya que la automatización es el siguiente paso hacia la excelencia empresarial.

Nunca ha sido tan fácil alinearse con los requisitos de las normas y conseguir la conformidad, contáctanos, y uno de nuestros asesores contactará con usted.

ISO 37001 e ISO 37301

Las familias de normas, así como las familias humanas, se parecen entre sí. Por ejemplo, la familia ISO 9000 se refiere a la calidad, pero abordada desde distintos puntos de vista. Recordemos que la norma ISO 9000 contiene el vocabulario relativo a los sistemas de gestión de la calidad; la ISO 9001 trata sobre la implementación de un sistema de gestión de la calidad; la ISO 9002 proporciona recomendaciones para implementar la ISO 9001 y la ISO 9004 va de directrices para el éxito sostenido de las organizaciones. Juntas conforman un cuerpo completo acerca de la calidad y apuntan hacia un mismo objetivo. Sin embargo, guardan diferencias de fondo y forma entre sí. Lo mismo podríamos decir de otras familias de normas, por ejemplo, la integrada por la ISO 37001 e ISO 37301, y que pronto contará con la ISO 37002 – Sistema de gestión de denuncias e ISO 37000 -Guía para la gobernanza de las organizaciones, ambas en fase de discusión previa a la publicación.

La norma ISO 37001- Sistemas de gestión antisoborno fue publicada en el año 2016 y tiene por objeto ayudar a las organizaciones a combatir el soborno, tanto en sus propias operaciones como en todas sus cadenas de valor. Los esfuerzos del estándar apuntan a la prevención y tratamiento de una forma de corrupción capaz de destruir empresas, economías enteras y países. La Organización Internacional de Estandarización considera que al publicar normas que las compañías adopten de forma voluntaria, será más fácil combatir el soborno desde procesos transparentes, responsables y más justos.

Por su parte, la norma ISO 37301 – Sistemas de gestión de compliance fue publicada durante este año 2021 y se propone reducir los riesgos de corrupción y otros delitos mediante el cumplimiento de leyes, requisitos regulatorios y códigos de la industria. Los riesgos operativos, penales, reputacionales y financieros podrían ser eliminados, prevenidos y duramente combativos gracias a la implementación de esta norma.

Pese a que ambos estándares persiguen la implementación de controles eficaces y transparencia y tienen en común la necesidad de que los colaboradores reciban formación en cuanto a valores y buenas prácticas éticas; y también se asemejan en la necesidad de garantizar que se tomen decisiones equitativas, las normas ISO 37001 e ISO 37301 cuentan con diferencias bien marcadas, por ejemplo:

Aparte de las diferencias mencionadas, ambas normas son disímiles porque las partes interesadas y sus requisitos difieren en cada sistema de gestión. Las evaluaciones de riesgos apuntan a elementos que contrastan, además de que la información documentada cuenta con distinto contenido en cada caso. Las funciones, roles, dueños de procesos, controles, compromisos, acciones para prevenir riesgos y detectar oportunidades también distan. Del mismo modo, los recursos que se necesitan para implementar los sistemas de gestión varían.

Independientemente de que las normas ISO 37001 e ISO 37301 sean diametralmente opuestas y persigan objetivos bien diferenciados, pueden integrarse e implantarse para obtener resultados que apunten a sociedades más libres y justas. Depuradas de corrupción e incumplimiento, dos lastres de los que requiere librarse toda sociedad para progresar y superarse.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301

El modelo de gestión de cumplimiento basado en la norma ISO 37301 fue publicado durante 2021, pero fue requerido desde antes, puesto que muchas organizaciones tenían la firme voluntad de ejercer el compliance de forma responsable y correcta, aunque tenían vagas nociones sobre cómo hacerlo. En ese sentido, el estándar enciende una luz suficientemente clara para demarcar un camino en que el cumplimiento es un proceso portador de pasos a seguir, con un alcance, política, objetivos, oficial de cumplimiento, funciones, documentos, objetivos, riesgos, políticas y oportunidades.

¿Cuáles son los objetivos del modelo de gestión del que hablamos? Encontramos que existen 6 de ellos:

• Integridad: Se trata de hacer lo correcto para no perjudicar los intereses de los involucrados, de actuar con transparencia y llevar a cabo procesos equitativos, limpios y justos.
• Cultura: Engloba los valores, ética, creencias y conductas que existen en toda la organización y ayudan a producir normas de comportamiento que conduzcan al cumplimiento.
• Conformidad: Implica el cumplimiento de los requisitos de cumplimiento que son aplicables en la organización.
• Reputación: La norma tiene el propósito de lograr que las ideas, opiniones y conceptos que las personas tengan de la empresa implementadora sean favorables en cuanto al cumplimiento.
• Valor: No en todas las organizaciones están conscientes sobre los valores empresariales, por lo tanto cada trabajador suele regirse por sus valores individuales. La norma nos conmina a fijar valores en común que guíen la actividad laboral por la senda correcta. Algunos de los valores más deseables para una compañía son la responsabilidad, disciplina, justicia, integridad, prudencia, superación, honestidad, respeto, entre otros.
• Ética: La ISO 37301 nos conmina a que el conjunto de constumbres y normas que rigen el comportamiento de los trabajadores -dentro y fuera de la organización – se basen en los valores de la empresa y las conductas estén depuradas de vicios.

La norma, además, está regida por principios como integridad, buen gobierno, proporcionalidad, transparencia, rendición de cuentas y sustentabilidad. Cuenta con todo un asidero teórico y filosófico para garantizar que la implementación del sistema de gestión de cumplimiento se internalice mediante la toma de consciencia que ayude a que los colaboradores asuman comportamientos éticos, de cara a la creación y consolidación de organizaciones capaces de internalizar sus compromisos con los trabajadores, partes interesadas y con el entorno del que forman parte.

El ciclo PHVA y la ISO 37301

Las normas ISO recogen un aporte fundamental de William Deming: el ciclo PHVA (planificar, hacer, verificar y actuar). Si dirigimos el enfoque del también llamado ciclo Deming hacia un sistema de gestión de cumplimiento, tendremos actividades bien definidas en cada parte del ciclo:

Planificar:

• Compromiso a todos los niveles: quiere decir que cada individuo que conforma la org, independiente de su nivel de jerarquía, debe contribuir activamente en el desarrollo y eficacia del sistema de gestión de compliance.
• Alcance: la norma es un apoyo para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de cumplimiento eficaz dentro de una organización. Sirve para empresas de todos los rubros y tamaños y sectores.
• Política de compliance: son las intenciones y dirección de una organización, expresadas formalmente por su alta dirección.

Hacer:

• Apoyo: implica un conjunto de procesos que permiten gestionar los recursos con los que cuenta la organización.
• Competencia y conciencia: capacidad para aplicar conocimientos y habilidades para lograr los resultados previstos.
• Comunicación y entrenamiento: las políticas, roles y objetivos de compliance deben ser conocidos por todos los trabajadores de la organización. Si alguno de ellos requiere formación sobre cumplimiento, es menester brindársela.
• Operación: es un conjunto de controles operacionales que incluye procedimientos, canal de consultas éticas e investigaciones.
• Información documentada: información que debe ser controlada y mantenida por una organización y el medio en el que está contenida.

Verificar:

• Auditoría interna: Proceso sistemático e independiente para obtener evidencia y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoría.
• Revisión por la dirección: revisión que hace la alta dirección sobre el sistema de gestión.
• Seguimiento y medición: acciones que sirven para verificar la eficacia de los controles, mitigación de riesgos y el funcionamiento de los procesos de control operacional, consultas éticas e investigación.
• Planteamiento de preocupaciones: un canal que habilita la organización para comunicarse con las partes interesadas y determinar si hay probabilidades de incumplimiento.
• Proceso de investigación: permite conocer el origen de incumplimientos, denuncias, fallas de controles y conductas tendientes al incumplimiento.

Actuar:

• Gestión de no cumplimiento: es una herramienta de la norma que le permite a la organización reaccionar ante un riesgo de incumplimiento que se materializa.
• Mejora continua: actividad recurrente para mejorar el rendimiento del sistema de gestión.

Para finalizar les recordamos que la norma ISO 37301 cuenta con un contexto que abarca lo social, cultural, legal, tecnologías, finanzas, estructura, ambiente y partes interesadas. Con ello se espera dar cumplimiento a cabalidad y entender el compliance de manera holística.

Software para la gestión compliance

La norma ISO 19600 ha sido reemplaza por la norma ISO 37301, la cual, al ser certificable, precisará de seguimientos, auditorías, medidas, gestión de riesgos, etc. de los que dependerá la futura certificación

Ser pro tecnología y apostar por herramientas tecnológicas como el Software ISOTools para compliance, es una apuesta segura, ya que la automatización es el siguiente paso hacia la excelencia empresarial.

Nunca ha sido tan fácil alinearse con los requisitos de las normas y conseguir la conformidad, contáctanos, y uno de nuestros asesores contactará con usted.

ISO 37301

Nociones maquiavélicas como “el fin justifica los medios” van perdiendo fuerza en el mundo de los negocios. La generación de riquezas a costa del sacrificio del planeta, bienestar de los trabajadores e incumplimiento legal cada día van siendo reveladas en forma de escándalos en que clientes y partes interesadas no desean verse envueltos. Aunque las compañías tienen como propósito la obtención de ganancias, la sociedad observa y demanda que el proceso sea limpio. Por eso conviene que el compliance officer elabore programas de cumplimiento en los que se identifiquen las normas, leyes y obligaciones legales (preventivas y/o reactivas), riesgos a los que se enfrenta la organización se incumple y trace la actitud y comportamientos de los trabajadores de cara a estas responsabilidades legales.

De acuerdo al estándar técnico TS 316/2018, los programas de cumplimiento son el conjunto de normas de carácter interno establecidas en la empresa por iniciativa del órgano de administración, con la finalidad de implementar en ella un modelo de organización y gestión eficaz que le permita mitigar el riesgo de la comisión de delitos y exonerar a la empresa, y en su caso, al órgano de administración, de la responsabilidad penal de los delitos cometidos por sus directivos y empleados.

Elementos de un programa de compliance

Un programa de compliance eficiente requiere contar con diversos elementos para funcionar a cabalidad, se trata de:

• Compromiso de la dirección: la ley entra por casa, es bien sabido. Y es fundamental que desde la dirección se comunique que la empresa tendrá el ineludible deber de conducirse de forma ética y de garantizar el cumplimiento de la legislación.

• Analizar riesgos e implementar controles: conviene que se trace un diagrama por cada área de la empresa y se identifiquen los riesgos potenciales que comprendan cada proceso y actividad. De esta forma se contará con información fidedigna para establecer controles destinados a corregir, mitigar, prevenir o eliminar los riesgos de compliance. Es recomendable que existan sanciones ante cada incumplimiento. Las medidas disciplinarias son un buen ejemplo de ello.

• Crear canales de denuncias: ante irregularidades, incumplimientos y conductas poco éticas, es necesario crear canales de denuncias en que los declarantes puedan manifestar sus aprensiones de manera anónima. También es pertinente que haya encargados de hacer seguimientos a las denuncias para que la sensación e impunidad no haga que proliferen los delitos.

• Formación: si los trabajadores son formados constantemente acerca del cumplimiento de leyes, prevención del delito, ética y aplicación de controles, más posibilidades de éxito tendrá el programa. Los cursos, talleres, charlas y demás inducciones sirven para entender qué aspectos del compliance desconocen los colaboradores y será posible convertir las debilidades en fortalezas.

• Auditorías: ¿cómo saber si en la organización se están cumpliendo con las exigencias legales? Las auditorías vienen a resolver esta interrogante. También sirven para detectar irregularidades, proponer mejoras y detectar oportunidades.

• Concientización: una campaña sobre buenas prácticas de compliance es de gran utilidad para llegar a todos los trabajadores, quienes requieren percibir el cumplimiento como una imperiosa necesidad a cubrir, puesto que sin ella no existiría la posibilidad de continuar operando. Cumplir es sobrevivir, porque cumplir es parte fundamental de la sostenibilidad organizacional.

• Comprobar la eficacia: técnicas como la gamificación son de comprobado apoyo para incorporar el compliance al día a día laboral. Por supuesto, ninguno de nuestros esfuerzos valdría la pena si no podemos comprobar la efectividad de las medidas puesta en práctica, por eso es importante realizar pruebas y actualizar el programa de compliance a medida que surjan nuevas leyes y disposiciones.

• Difusión y documentación: los acuerdos, planes, resoluciones, compromisos y normativas a cumplir son parte de la información documentada. Además, todos los trabajadores requieren estar al tanto oportunamente.

• Integridad: actuaciones íntegras y transparentes desde la directiva y altos mandos dejarán en claro cuáles son las prioridades de la organización y trazarán un camino a seguir.

• Algunas integraciones positivas: el programa de cumplimiento puede ser vinculado a planes de integridad y transparencia, prevención de blanqueo de capitales y financiación del terrorismo, programas de prevención del delito, planes contra la discriminación y acoso sexual, entre otros.

• Nombrar a un compliance officer: este profesional será el encargado de supervisar el cumplimiento. Para ello amerita ser dotado de autoridad, autonomía y recursos. Le concierne sugerir a la alta dirección qué controles, medidas, sanciones, formaciones e incentivos se administrarán.

Software para la gestión compliance

La norma ISO 19600 ha sido reemplazada por la ISO 37301, la cual, al ser certificable, precisará de seguimientos, auditorías, medidas, gestión de riesgos, etc. de los que dependerá la futura certificación

Ser pro tecnología y apostar por herramientas tecnológicas como el Software ISOTools para compliance, es una apuesta segura, ya que la automatización es el siguiente paso hacia la excelencia empresarial.

Nunca ha sido tan fácil alinearse con los requisitos de las normas y conseguir la conformidad, contáctanos, y uno de nuestros asesores contactará con usted.

ISO 37301

La norma ISO 37301 – Sistema de gestión de cumplimiento, que permite la certificación, fue publicada el 13 de abril del 2021, nos invita a reflexionar sobre varios puntos concernientes a las responsabilidades y transparencia organizacional. También se refiere al tratamiento de inquietudes sobre la política y/u obligaciones de cumplimiento. El tema no es menor, puesto que las irregularidades son frecuentes, sistemáticas y generalizadas. Si no fuese de esta forma, el estándar no tendría sentido. Pero la pertinencia de la norma se demuestra a diario, cuando numerosas empresas son multadas o cerradas por haber vulnerado la ley.

Otras son arrasadas por el descrédito y la mala fama, en cuanto los empleados dejan saber que las empresas vulneran sus derechos. Instagram, Facebook y Twitter se han convertido en repositorios de quejas sobre compañías que no cumplen con contratos y acuerdos, acoso sexual laboral, sobrecarga de trabajo que se convierte en ansiedad y depresión (dos de las causas más recurrentes de ausentismo laboral) y muchos fenómenos más.

Las políticas de cumplimiento no siempre son redactadas de manera clara acerca de los roles, responsabilidades, alcance, importancia, consecuencias de incumplimiento, objetivos y exigencias. La creación de una política no puede deberse al afán de contar con un requisito más para poder afirmar, orgullosamente, que implementamos la norma ISO 37301. O que tenemos una política de cero tolerancias al no cumplimiento.

La política es un documento que requiere ser conocido no solo por la totalidad de trabajadores de la organización, sino por las partes interesadas. También amerita ser expresada en términos sencillos, con el propósito de facilitar su comprensión. Por último, la política no es un papel elegante, sino la formalización de lo que, efectivamente, va a llevarse a cabo. Toda política bien hecha debe, además, “fomentar la presentación de inquietudes y prohibir cualquier forma de represalia”, según el apartado 5.2 de la norma ISO 37301. Pero ¿cómo atender de forma adecuada tales inquietudes?

Proteger a quienes dudan

La duda es sana. Y si se presenta, es menester tratarla de forma idónea. Primero que todo, es vital que el clima organizacional sea de confianza. Que se permita cuestionar a los líderes y directivos, puesto que los grandes incumplimientos, fraudes y estafas se cometen desde instancias en que se manejan recursos, contactos y poder. También es fundamental que existan personas dentro de la empresa que estén facultadas para orientar a quienes presentan inquietudes. Si la organización es pequeña y no dispone de un departamento legal, es importante que el (la) encargado (a) del área sobre la que surge la duda brinde una guía al respecto.

La norma ISO 37301 proporciona información precisa y puntualiza que “la organización debe establecer, implementar y mantener un proceso para alentar y permitir la presentación de informes, en caso de que haya motivos razonables para creer que la información es verdadera, de violaciones intentadas, sospechadas o reales de la política de cumplimiento o las obligaciones de cumplimiento”.

Como ya es costumbre en las normas ISO, el citado estándar ofrece elementos puntuales que debemos atender para abordar las inquietudes como un proceso que debe:

• ser visible y accesible en toda la organización;
• tratar los informes de forma confidencial;
• aceptar informes anónimos;
• proteger de represalias a quienes denuncien;
• permitir que el personal reciba asesoramiento.

La norma, además, apunta la importancia de asegurarse de que todo el personal conozca los procedimientos de presentación de informes, sus derechos y protecciones y pueda utilizarlos.

El fin de los poderosos incuestionables

Los tiempos están cambiando. La época de empresas y funcionarios intocables llega a su fin. Tal vez esto solo sea una ilusión y caigan viejos infractores para que se erijan nuevos corruptos, como si se tratara de Ouróboros, la legendaria serpiente que se muerde la cola y alude a un ciclo sin fin. Independientemente de que seas pesimista funcional (las cosas están mal, pero sigo adelante) o un optimista a prueba de todo, es un hecho que en tiempos no muy lejanos (unos 10 o 5 años atrás) no habría sido posible descubrir marañas intricadas como las que unieron a Facebook y Donald Trump. Como las que hundieron a Odebrecht y enlodaron a Daewoo Motors, Volkswagen y otros grandes referentes de éxito. El incumplimiento cae por su propio peso, arrastra abolengos, reputaciones, esfuerzos, dineros y recursos. Las consecuencias son indetenibles, acaso inexorables. Por eso vale la pena atender las inquietudes de empleados bienintencionados que buscan apoyar la gestión del cumplimiento antes de que el brazo de la ley toque nuestra puerta con todo su rigor.

Software para la gestión compliance

Próximamente, la norma ISO 19600 será reemplazada por la ISO 37301, la cual, al ser certificable, precisará de seguimientos, auditorías, medidas, gestión de riesgos, etc. de los que dependerá la futura certificación

Ser pro tecnología y apostar por herramientas tecnológicas como el Software ISOTools para compliance, es una apuesta segura, ya que la automatización es el siguiente paso hacia la excelencia empresarial.

Nunca ha sido tan fácil alinearse con los requisitos de las normas y conseguir la conformidad, contáctanos, y uno de nuestros asesores contactará con usted.