Por Adriana Bueno Buitrago, directora de compliance de Gómez-Pinzón Abogados, y Anderson Gómez Ocampo, paralegal
La International Organization for Standardization (ISO) aprobó en abril de 2021 la norma ISO 37301:2021 sobre Sistemas de Gestión de Cumplimiento Normativo, en la que se fijan los requisitos para establecer, implantar, evaluar, mantener y mejorar un Sistema de Gestión de compliance, convirtiéndose en la nueva norma marco para los sistemas de gestión empresarial.
Un Modelo de Gestión de Gobierno, Riesgo & Cumplimiento es un modelo de cumplimiento normativo que actúa como un mecanismo de autocontrol y gestión dentro de la empresa, adaptándose a las necesidades de los negocios, a los requisitos de las empresas y a su realidad, y que incluye la normatividad aplicable a la misma, así como la que voluntariamente quiera adoptar.
La ISO 37301:2021 reemplaza la anterior norma ISO 19600:2014 y señala los requerimientos necesarios para el establecimiento, implementación, evaluación, seguimiento y mantenimiento de un sistema de gestión de cumplimiento. Esta norma responde a la demanda internacional de implementar una certificación que demuestre el compromiso que tiene una organización en materia de compliance, basándose en los principios de buen gobierno, proporcionalidad, transparencia y sostenibilidad. Como todas las normas ISO, esta es una norma internacional de aplicación voluntaria, siendo la primera de este tipo que aborda el tema de compliance de manera integral. Además, los requisitos de la ISO 37301 son genéricos y han sido desarrollados para ser aplicados en todo tipo de organizaciones, independientemente del sector en los que operen, el tamaño, la naturaleza, o el carácter público, privado o sin ánimo de lucro.
Entre las principales diferencias de la ISO 37301 y la ISO 19600 se destaca que la nueva norma puede ser certificada a través de las instituciones autorizadas en cada país, para las organizaciones públicas o privadas, lo que permite estandarizar a nivel internacional las normas de compliance, ya que es susceptible de ser acogida por cualquier ordenamiento jurídico. Por otra parte, mientras que la ISO 19600 se limitaba a entregar pautas y recomendaciones en materia de cumplimiento, la ISO 37301 establece requisitos de obligatorio cumplimiento para obtener la certificación. Adicionalmente, esta última contiene un anexo de orientación para su uso, con ejemplos prácticos, definiciones y notas explicativas, para facilitar la implementación y aplicación de la norma.
Otro cambio relevante es el concepto de obligación de compliance, ya que la ISO 37301 define este concepto abarcando, además de las obligaciones legales y normativas, todos aquellos compromisos que haya adquirido la organización de forma voluntaria. Asimismo, a diferencia de la ISO 19600, el nuevo texto impulsa los canales de denuncia como elemento clave de compliance; hace énfasis en los procesos de empleo y contratación de miembros de la organización; y se enfoca los procedimientos adecuados de debida diligencia.
Otra novedad es el alcance de la ISO 37301 que puede ser aplicada a todo tipo de organizaciones, independientemente de su tamaño. Además, se integra con otras normas ISO, incorporando elementos comunes de otras normas técnicas, para lograr un sistema normativo integrado de compliance.
Finalmente, esta norma concede especial importancia a la promoción de una cultura ética de compliance en la que, mediante la formación y sensibilización, se fortalezcan valores que involucren a todos los trabajadores en la viabilidad de la empresa a largo plazo.
En conclusión, el nuevo marco normativo para compliance de la ISO 37301 trae grandes beneficios para las empresas que la implementen, pues posibilita el establecimiento de un marco común internacional con todos los grupos de interés en materia de riesgo corporativo y compliance.
Gracias a esta certificación, las organizaciones podrán mejorar su imagen, aumentar la transparencia, credibilidad y reputación, así como generar mayor confianza de mercado. En este orden de ideas, al desarrollar este nuevo sistema, las empresas estarán organizadas bajo estándares internacionales de transparencia y de buenas prácticas organizacionales, realizando una gestión anticipada y preventiva de los riesgos que surjan en el desarrollo de sus actividades, y evitando la comisión de delitos que puedan poner en riesgo a la organización, exonerando a los representantes legales de responsabilidad penal y a la compañía de responsabilidad administrativa.
