Análisis
ISO 37301:2020 La nueva norma certificable sobre Sistemas de Compliance
No hace mucho tiempo hablar de compliance era sinónimo de controles que sumaban procesos a los ya recargados sistemas de control interno. En la última década, y particularmente en los últimos años el salto ha sido gigante, la incorporación de tecnología, sumado al crudo juicio de la ciudadanía primero, y la contundente regulación legislativa con que se respondió en muchas latitudes, hace que hoy estemos en un escenario completamente distinto.
Hoy sabemos que un Sistema de Compliance integrado a la estrategia de negocios, no sólo no quita agilidad al negocio, sino que muy por el contrario, permite asegurar que los riesgos y amenazas sean oportunamente abordadas, y que, al saber todos cuál es la cancha y las reglas del juego, podamos enfrentar decisiones o escenarios complejos, bajo un marco preparado a responder oportunamente. Hoy la integridad paga, la reputación y la confianza son claves en articulación de nuevos negocios y el control que sobre ellos se tiene es un síntoma de madurez organizacional que habilita nuevos espacios y nuevas oportunidades.
Ahí la importancia de la norma ISO/DIS 37301:2020 "Compliance management systems — Requirements with guidance for use", ya disponible y en la puerta del horno para entrar en vigencia en todo el mundo.
Esta norma viene a reemplazar la norma ISO 19600:2014 "Compliance management systems — Guidelines", Siendo el título su principal diferencia, el modelo propuesto por ISO 19600 eran guías no certificables, mientras que acá el Sistema de Gestión de Compliance pasa a tener el carácter de un proceso sujeto a certificación y por tanto examen de un tercero.
La señal de la International Organization for Standardization y del mercado es clara, necesitamos saber que nuestros proveedores, clientes y socios comerciales, funcionan en un patrón de cumplimiento conocido, compartido y validado internacionalmente.
Nosotros en Deloitte Forensic acompañamos a la primera empresa chilena en obtener la certificación de su Sistema de Gestión Antisoborno bajo la norma ISO 37001 "Anti-bribery management systems — Requirements with guidance for use". Y conocemos en la práctica el como estandarizar procesos, permite agilizar el diálogo y la gestión, generando una cultura, que nace desde el cumplimiento legal del territorio en que se está operando, pero que se articula al mundo globalizado de las empresas de hoy.
El valor de la estandarización está definitivamente en la habilidad de proveer un sello, que le dice al mercado que nuestra organización es de aquellas que van a la vanguardia en estos temas, cada día más insertos en el core de nuestros negocios.
5 aspectos fundamentales de la nueva norma
Es una norma certificable
Esto permitirá sumar a terceros independientes que den fe que los directorios y las compañías han tomado las debidas diligencias y ejercido el deber de cuidado de forma efectiva, para conocer los riesgos que enfrenta la empresa, se han puesto en funcionamiento controles y medidas para mitigar dichos riesgos, y se cuenta con un mecanismo de control y monitoreo que habilite a la empresa a detectar eventuales irregularidades, y en su caso conducir las respectivas investigaciones.
Un nuevo énfasis en el entorno
Si bien ISO 19600 ya comenzaba diciéndonos la importancia de contar con un diagnóstico adecuado del entorno para iniciar un proceso de implementación, en este caso la nueva norma va más allá, reconociendo a la empresa como un actor social, inserto en un sistema, y sujeta por tanto a las fuerzas propias de la sociedad, exigiendo un análisis más profundo del contexto político social, variables competitivas, socioeconómicas, territoriales, etc.
Fomenta abiertamente el uso de herramientas de Whistleblowing
Está muy documentado por la literatura empresarial, la importancia que tienen los canales de denuncia a la hora de detectar fraudes u otras actividades ilícitas. Acá se establecen requerimientos específicos pata asegurar la eficacia de estas herramientas y el deber de promoción activa de una cultura donde la responsabilidad del compliance es de todos y cada uno de los miembros de la organización.
Basada en un enfoque de riesgos
Desde ISO 9001, que se ha ido formando un marco integrado de gestión, donde los aspectos específicos de algo general, también están estandarizados en este sistema global, el mismo que estandariza la rosca de las ampolletas, el voltaje, las siglas de los países o los límites de tolerancia a la radiación nuclear.
En este caso la norma se apoya en ISO 31000 para la identificación de riesgos e ISO 31010 para su evaluación.
Sus disposiciones son integradas respecto a los estándares ISO 19000 sobre Sistemas de Gestión del Compliance, ISO 19601 sobre Sistemas de Gestión del Compliance Penal y también con la recientemente lanzada ISO 19602, sobre Sistemas de Compliance Tributario. Por tanto, un todo articulado, que ahorra un increíble esfuerzo a las organizaciones que ya se han sumado a algún estándar internacional en calidad, seguridad o medioambiente, o en seguridad de la información, etc. El idioma es el mismo, procesos, dueños de procesos, riesgos, probabilidad, impacto, control, riesgo residual, plan de mejora continua.
La cultura de compliance
Para terminar, el aspecto más importante. La cultura de compliance es el corazón de la nueva norma. La promoción de una cultura ética, basada en valores, donde todas y todos conocen sus responsabilidades y roles, involucrando a toda la organización en asegurar la viabilidad de la empresa en el más largo plazo.
Para más información sobre cómo poner en funcionamiento estos estándares en tu empresa, no dudes en contactarnos.