Estándares de cumplimiento ISO: ISO 37301 vs ISO 37001
Como resultado de un esfuerzo por estandarizar la gobernanza y el cumplimiento en las organizaciones, ISO ha publicado tres estándares con este propósito desde el año 2014. Estos estándares de cumplimiento ISO, que inicialmente fueron solamente ISO 19600 e ISO 37001, se ven ahora complementados por una nueva norma: ISO 37301.
Con la reciente publicación de ISO 37301 -que incorpora la posibilidad de certificación del sistema de gestión de cumplimiento- se hace necesario conocer cuál es el propósito de cada uno de estos estándares de cumplimiento ISO, así como su alcance y objetivos.
Un punto es claro: con la publicación de ISO 37301, ISO 19600 pasa a un segundo plano. Entonces, la disyuntiva en cuanto a alcance y propósito de los actuales estándares de cumplimiento ISO se enmarca en la reciente ISO 37301 y la ya conocida ISO 37001.
Estándares de cumplimiento ISO – ¿Cuál es el objetivo de cada uno?
Aunque algunas personas suelen ver en ISO 37001 un conjunto de procesos burocráticos diseñados para obstaculizar la gestión comercial de la organización, lo cierto es que el estándar de gestión anticorrupción y anti soborno fue diseñado para permitir a las organizaciones construir una cultura sólida de transparencia y buenas costumbres éticas, con base en una estructura de Alto Nivel común a las recientes publicaciones de ISO.
Visto así, los requisitos de ISO 37001 no son obstáculos para afectar la capacidad de hacer negocios de la organización, sino un factor de competitividad y éxito, con la ventaja de proceder dentro de un marco de seguridad legal y jurídica.
ISO 37301, por otra parte, es el nuevo estándar de gestión de compliance, que a diferencia de su antecesora ISO 19600, utiliza la estructura de Alto Nivel y adiciona elementos que conducen a adoptar las mejores prácticas éticas y de gobernanza, lo que por supuesto toca tangencialmente el área de gestión anticorrupción.
Entonces, ¿es ISO 37301 una norma anticorrupción? No. Pero sí es un estándar que solicita que todas las funciones de cumplimiento operen en sincronía, para eliminar riesgos de cumplimiento, entendiendo que el fraude y el soborno son la máxima expresión de la ausencia de cumplimiento.
Diferencias técnicas entre los estándares de cumplimiento ISO
De la ilustración sobre las diferencias en los objetivos de cada uno de los estándares – ISO 37301 e ISO 37001 -, puede surgir la duda con respectos a sus diferencias estructurales, si los dos comparten la estructura de Alto Nivel.
Del mismo objetivo de cada uno, surge la diferencia técnica. El objetivo propuesto para ISO 37001, que no es otro que la lucha contra la corrupción y el soborno, hace que el estándar utilice requisitos prescriptivos y adopte controles operativos para lograr el propósito.
Esto se evidencia con particular claridad en el capítulo 8 de la norma, que habla de la debida diligencia de terceros, los controles no financieros y las políticas de obsequios e invitaciones, elementos que están ausentes en ISO 37301.
En cuanto al contexto de la organización, que es eje central en todos los estándares de ISO, en ISO 37001 se circunscribe a los elementos del contexto que pueden implicar riesgos de soborno y corrupción. Por deducción, en ISO 37301 se asumen los elementos que pueden representar riesgo de cumplimiento.
Esto no significa que cada norma se ocupe de lo que le es pertinente en forma exclusiva. Significa, especialmente para ISO 37301, que la adecuada gestión de compliance, tiene la capacidad de reducir el riesgo de que se presenten conductas de corrupción dentro de la organización.
La conveniencia de los dos estándares de cumplimiento ISO
ISO 37301 actúa como un elemento integrador de especial utilidad en organizaciones que enfrentan riesgos severos de soborno y corrupción. En este tipo de escenarios, no solo es recomendable sino altamente conveniente implementar los dos estándares.
De hecho, gracias a la estructura de Alto Nivel común, los dos estándares podrían unirse a un Sistema de Gestión de la Seguridad de la Información, por ejemplo, en un Sistema Integrado que potencie los beneficios, minimice costes y optimice recursos.
Con la adopción de los dos estándares, o la integración, será evidente que muchos procesos como la revisión de la Alta Dirección, la identificación de objetivos, la auditoría interna y la mejora continua, son comunes.
Finalmente, ISO 37301 es un estándar muy flexible, que puede acomodarse a todos los programas de cumplimiento que ya operan. Esto es muy importante porque hoy sabemos que los estándares de cumplimiento ISO en el futuro serán muchos, y que una misma organización podrá o deseará implementar más de uno.
En cualquier caso, la implementación y certificación requerirá, además de conocimiento, un aporte tecnológico importante.
Software ISO 37301/19600 de ISOTools
Para muchas organizaciones el camino a seguir será la migración desde ISO 19600 hacia el nuevo estándar de cumplimiento ISO 37301. Estas organizaciones, que tienen un trabajo más fácil, pueden haber adoptado una solución tecnológica como el Software ISO 37301/19600 de ISOTools.
Las organizaciones que adopten el nuevo estándar desde cero, igualmente encontrarán un apoyo invaluable en esta poderosa herramienta: tareas como las que implica la debida diligencia, la gestión de documentos o la implementación de canales de denuncia y de consultas éticas, serán automatizadas mejorando las oportunidades de implementar el estándar con éxito y obtener la certificación.
Hoy puedes conocer esta innovadora herramienta: consultar con un asesor aquí.