ISO 37301. Sistemas de Gestión de Compliance

ISO 37301

En este post vamos a analizar la norma ISO 37301, de Sistemas de Gestión de Compliance Global. Durante el proceso de desarrollo de los Sistemas de Gestión de Compliance Penal he tenido la oportunidad de comprobar que el Compliance Penal en sí, se queda un poco “corto”, y que el proceso de análisis de riesgos precisa incluir dentro de la misma matriz, todos los riesgos de la organización.

Por ejemplo, una exportación de tecnología sin cumplir con la normativa de tecnología de doble uso, puede que no sea en sí mismo un incumplimiento susceptible de generar responsabilidad penal, pero es un riesgo que hay que gestionar, ¿y por gestionar unos riesgos por una parte o otros por otra?

Ambos son riesgos, y las empresas deben tener la matriz de todos sus riesgos, graduándoles en función impacto (reputacional y de incumplimiento) y la probabilidad de ocurrencia. Todo esto lo podemos hacer a través de esta nueva norma, la ISO 37301.

¿Cuáles son los puntos clave de la Norma?

  • Se trata de una Norma certificable. Somos muy partidarios de las certificaciones, ya que obligan a hacer las cosas bien, y lo más importante, a que las empresas se impliquen de verdad
  • Enfoque basado en el riesgo: En este punto, la duda que todos tenemos es qué riesgos debemos incluir en la matriz de riesgos. A título de ejemplo podrían incluirse:
    • Riesgos penales: En relación con estos riesgos, incluiríamos los delitos que generan responsabilidad penal a la persona jurídica (enfoque ad-extra), y además aquellos que, si bien no están incluidos en el catálogo de delitos que generan responsabilidad penal, perjudican a la empresa (enfoque ad-extra), como puede ser el delito de administración desleal o apropiación indebida.
    • Riesgos jurídicos: Podríamos incluir el marco jurídico aplicable a cada organización (protección de datos personales, derecho de la competencia, exportaciones, derecho laboral, normativa ambiental…).
    • Otros riesgos: En función de las actividades de la organización se identificarían otros riesgos, que si bien, no son requerimientos jurídicos, si son necesidades para la organización (seguridad de la información, calidad, responsabilidad social, etc). Aquí entraríamos en el terreno de la autoregulación.
  • Énfasis en el estudio del contexto de la organización. El estudio de la organización es vital, para poder identificar sus riesgos. Es necesario determinar qué hace la organización, dónde, cómo y por qué. Lo que identifiquemos en este punto va a orientar todo el sistema de gestión de Compliance.
  • Apuesta por los Canales de Denuncias: La norma es muy clara en este aspecto, estableciendo la necesidad de las organizaciones de “animar” y “permitir” que se informe sobre los intentos de infracción de las obligaciones de Compliance
  • Cultura de Compliance: El núcleo de la norma es la cultura de Compliance, ya que todo lo que hacemos en Compliance tiene por objeto promover una cultura basada en valores y en cumplimiento de las normas y leyes que son aplicables, donde todas las personas de la organización conocen sus roles y responsabilidades. Es decir, todo el personal debe estar involucrado en el Compliance, porque solo así se podrá asegurar la viabilidad de la empresa a largo plazo.

Lo bueno de la ISO 37301 es que disponemos de un Anexo A informativo muy extenso que nos orienta como desarrollar el Sistema de Gestión de Compliance de manera correcta.

Muchas gracias y espero que os haya resultado interesante.

  • 05 Enero, 2022
  • Olga Martínez
  • Blog
  • 5 min
Volver al blog