El 13 de abril de 2021 se publicó la norma ISO37301:2021 Compliance Management Systems. La importancia de esta norma no reside solamente en que es el primer estándar internacional certificable en la materia, sino en el potencial impacto positivo de su adopción en las organizaciones y entorno de negocios.
Descargue la publicación Riesgos en México 2021
De acuerdo con el nuevo estándar de ISO, la adopción de un compliance management system (CMS) permite a las organizaciones demostrar su compromiso con la observancia de leyes aplicables, códigos de la industria, estándares y políticas organizacionales, así como con mejores prácticas en materia de ética y cumplimiento.
Algunos elementos a resaltar de esta nueva norma son:
- Convergencia de mejores prácticas. La norma presenta una interesante convergencia de mejores prácticas en materia de compliance, por lo cual puede adaptarse para el cumplimiento de diversas leyes y estándares, como privacidad de datos, aspectos ambientales, sociales y de gobierno corporativo (ASG), entre otros, además de operar de forma integral con los sistemas de gestión antisoborno basados en la norma ISO37001
- Énfasis en la cultura. La norma reconoce el papel clave del Consejo de Administración y la Alta Dirección en la creación de una cultura de cumplimiento, y establece la necesidad de fundar la cultura en un conjunto de valores: en el tono establecido por la Alta Dirección, en la coherencia del tratamiento de incumplimiento de las normas, en la formación continua a los empleados, y en el vínculo entre la estrategia de la organización, las funciones de cada persona y las actividades de cumplimiento
- Énfasis en los mecanismos de denuncia. La organización debe contar con un proceso estructurado, sistemático e independiente para fomentar el reporte de violaciones a las políticas u obligaciones de cumplimiento establecidas por el CMS, así como sospechas de posibles incumplimientos. Dicho mecanismo debe ser accesible para toda la organización, aceptar informes anónimos y proteger a los denunciantes
- Énfasis en el seguimiento, medición y evaluación del CMS. La organización debe monitorear el CMS para asegurar el cumplimiento de sus objetivos. Esta tarea implica la definición de indicadores de desempeño; el establecimiento de las actividades, modalidades y frecuencia del monitoreo; la obtención de información de diferentes fuentes, y el aseguramiento de que existe un programa de auditoría por parte de un ente objetivo e imparcial
La norma detalla otros elementos como parte del CMS, pero los cuatro citados serán determinantes para asegurar que el sistema se lleve a la práctica de forma efectiva por las organizaciones que decidan adoptar la norma ISO37301:2021 en la definición de su sistema de cumplimiento.
La preocupación relacionada con mejorar la efectividad de los programas de cumplimiento, incluso los basados en mejores prácticas, representa uno de los mayores retos para el Chief Compliance Officer (CCO) y para los reguladores en todo el mundo.
En octubre de 2020, el World Economic Forum señalaba la necesidad de que las organizaciones evolucionaran de un programa de cumplimiento basado en un checklist hacia una cultura de integridad anclada en valores, con énfasis en un liderazgo ético, que busque medir la confianza de los diversos grupos de interés como una métrica de desempeño en relación con los compromisos de cumplimiento y el apego a dichos valores. Del mismo modo, el Departamento de Justicia de Estados Unidos destaca la importancia de saber si el programa está adecuadamente diseñado, así como la necesidad de que funcione en términos prácticos.
Gestión de riesgos de terceros
La adopción de la norma como estándar de cumplimiento también puede beneficiar la gestión de riesgos de terceros, ya que al contar con un entendimiento común de los estándares que deben alcanzarse en un CMS, las organizaciones podrán cerrar la brecha existente entre las buenas intenciones de la organización y la manera real en que los socios de negocio estratégicos gestionan el cumplimiento de leyes y políticas clave; simultáneamente, estarán en condiciones de verificar el cumplimiento por parte de sus socios de negocio, empleando las mismas reglas.
De acuerdo con el estudio sobre administración de riesgos de terceros, tres de cada cuatro organizaciones (77%) consideran que la gestión de riesgos de terceros es una prioridad estratégica para el negocio. Asimismo, seis de cada diez (60%) afirman que los riesgos de reputación más graves que enfrentan provienen de fallas cometidas por los terceros. Una proporción similar indica que la empresa fue sancionada por incumplimientos derivados de la acción de terceros (59%).
Lo anterior se suma a la creciente presión regulatoria en todo el mundo, especialmente respecto a la corrupción, violaciones a la privacidad y pérdida de datos del cliente, así como los temas medioambientales y sociales, lo cual requiere un enfoque proactivo y estratégico para asegurar el cumplimiento por parte de los socios de negocio más relevantes.
El objetivo de la norma ISO37301:2021 es ambicioso, pero conlleva beneficios para quienes adopten el estándar, pues no se trata solamente de cumplir, evitando sanciones, sino de proteger la reputación de la compañía, así como generar credibilidad y confianza en los diferentes grupos de interés. El impacto en el entorno empresarial tiene un potencial positivo conforme las organizaciones adopten el estándar y soliciten a sus socios de negocio actuar de la misma manera.
Opine: ¿cuáles son las ventajas de esta nueva norma a largo plazo?
