¿Debo implementar un sistema de gestión anticorrupción o un sistema de gestión de cumplimiento normativo? ¿Cuáles son las diferencias entre ambas normas y cómo se puede determinar qué norma es la más adecuada para cada empresa? Hablamos de estas y otras cuestiones con Hans-Jürgen Fengler, auditor de las normas ISO 37001 e ISO 37301, por lo que es la persona indicada para hablar con él.

Hans-Jürgen Fengler, muchas gracias por dedicarnos tu tiempo para esta entrevista. Me gustaría hablar contigo sobre las diferencias entre las normas ISO 37001 e ISO 37301. ¿Podrías explicarme brevemente a qué se refiere cada una de estas normas?

Hans-Jürgen Fengler: Con mucho gusto. Ambas normas abordan la implementación de sistemas de gestión para garantizar el cumplimiento de las leyes y regulaciones. La ISO 37001 se centra específicamente en la lucha contra la corrupción. Proporciona un marco para identificar, evaluar y eliminar los riesgos de corrupción, mientras que la ISO 37301 adopta un enfoque más integral y cubre todas las obligaciones de cumplimiento de una organización. Esto incluye leyes, regulaciones, pero también compromisos voluntarios como el Pacto Mundial o el Código BAUM.

 

¿Y cómo funciona la implantación de un sistema de gestión como el descrito en la norma ISO 37301?

Hans-Jürgen Fengler: Según la norma ISO 37301, una organización debe definir un proceso en el que se identifiquen los mayores riesgos de cumplimiento normativo. A continuación, se lleva a cabo una evaluación de riesgos para determinar dónde son necesarias medidas, políticas, etc. Lo mismo debe hacerse en el caso de la norma ISO 37001, solo en lo que respecta al tema de la corrupción. El sistema se revisa periódicamente y se mejora continuamente para garantizar su eficacia. Al final, se puede solicitar la certificación por parte de un organismo acreditado. A continuación, un auditor como yo viene a analizar el sistema de gestión y comprobar el potencial de optimización. La clave es desarrollar un sistema de gestión de cumplimiento normativo a medida que cumpla con los requisitos y riesgos específicos de la organización y se mejore continuamente.

 

En otras palabras, si la gestión del cumplimiento muestra que la corrupción es un problema importante, ¿tengo que recurrir a la norma ISO 37001?

Hans-Jürgen Fengler: Sí, se puede. La norma ISO 37001 se centra en la corrupción. Esto significa que si la corrupción es el riesgo de cumplimiento más relevante, entonces se puede concentrar la atención en la norma ISO 37001. Sin embargo, si la corrupción no es el tema más relevante, entonces tiene más sentido introducir el sistema de gestión de cumplimiento. También es posible utilizar los contenidos de la norma ISO 37001 para optimizar el sistema de gestión de cumplimiento en relación con la lucha contra la corrupción y, de este modo, mejorar y concretar el sistema de gestión en su conjunto. Al decidir entre la norma ISO 37301 y la ISO 37001, siempre surge la pregunta: ¿Qué quiero demostrar a mis partes interesadas, cuáles son sus requisitos y qué tiene sentido para mí como organización? Además, hay países en los que también se exige por ley un sistema de gestión anticorrupción de acuerdo con la norma ISO 37001 para determinados sectores, por ejemplo, en la industria de la construcción en Italia o para las sociedades anónimas que cotizan en la bolsa francesa. En estos casos, la pregunta no se plantea y la certificación ISO 37001 es obligatoria.

 

El número 37301 viene después del 37001. ¿A qué se debe esta designación?

Hans-Jürgen Fengler: La ISO 37001 se publicó en 2016, mientras que la ISO 37301 entró en vigor en 2021. La norma predecesora de la ISO 37301, la ISO 19600, solo se concibió como una guía y no contenía requisitos específicos ni podía emitirse un certificado acreditado. Como la ISO 37001 ya llevaba el número 37001, se eligió el número 37301 para la nueva norma, más completa. Todo lo publicado por la ISO en el ámbito de los sistemas de gestión del cumplimiento normativo se puede encontrar en la serie 37000. Y es por eso que la ISO 37301 también se ha clasificado aquí.

 

¿Qué tan adecuadas son las normas ISO 37001 e ISO 37301 para organizaciones de diferentes tamaños, industrias y ubicaciones geográficas?

Hans-Jürgen Fengler: En principio, todas las normas ISO sobre sistemas de gestión son adecuadas para todas las organizaciones de distintos tamaños, sectores y ubicaciones geográficas. La ISO 37001 y la ISO 37301 no son una excepción. En el capítulo 4 “Contexto de la organización” se especifican con detalle los requisitos específicos de la empresa asociados al sistema de gestión y lo que se debe tener en cuenta. En una organización grande, hay más requisitos que en una pequeña. Por supuesto, todo esto tiene una fuerte influencia en los requisitos de cumplimiento que se deben considerar específicamente.

Un factor importante en términos de ubicación geográfica es que el riesgo de corrupción es mayor en algunos países que en otros. Transparencia Internacional proporciona  Índice de Percepción de la Corrupción (IPC) Está compuesto por 13 índices individuales, doce instituciones independientes y entrevistas a expertos e indica el riesgo de corrupción en las distintas regiones del mundo.

Si trabajo en un país o en cooperación con un país en el que los riesgos de corrupción son elevados, entonces es necesario instalar mecanismos de control más detallados que en un país en el que los riesgos de corrupción son menores y, por lo general, debo controlar menos. En otras palabras, la ubicación geográfica influye en el diseño específico del sistema de gestión.

 

¿Es obligatorio tener certificadas las normas o es suficiente con implementar un sistema de gestión adecuado?

Hans-Jürgen Fengler: La certificación es, por supuesto, opcional. Sin embargo, puede ayudar a las empresas a documentar sus obligaciones de cumplimiento y demostrarlas a las partes interesadas.

 

¿En qué medida pueden integrarse las normas ISO 37001 e ISO 37301 con otras normas de sistemas de gestión como la ISO 9001?

Hans-Jürgen Fengler: Ambas normas se basan en la Estructura de Alto Nivel (HLS) o Estructura Armonizada (HS), que también utilizan otras normas de sistemas de gestión ISO, por lo que, en principio, es posible su integración.

Sin embargo, si la integración tiene sentido o no depende de cada organización y de sus requisitos específicos.

 

¿Es posible también certificar sólo determinadas partes o actividades dentro del alcance de las normas?

Hans-Jürgen Fengler: En principio, es posible una certificación parcial, pero esto resulta problemático en el caso de cuestiones de cumplimiento normativo, ya que los requisitos suelen afectar a toda la organización. Por tanto, la certificación de áreas individuales requeriría delimitaciones artificiales que en la práctica son prácticamente imposibles de implementar.

 

¡Muchas gracias por tus interesantes comentarios!

 

La entrevista fue realizada por Constanze Illner.

Artículos y eventos relevantes

También puede interesarle esto
Blog
a green paintbrush with some green paint, on a pale green background with some blank space on the le
Loading...

Lavado verde: reconocer y evitar riesgos

Blog
compliance-header-blog-säulen gerichtsgebäude
Loading...

La gestión del cumplimiento en las PYME: ¿necesaria u opcional?

Blog
dqs-informiert-header-blog-viele bunte buecher in regalen in bibliothek
Loading...

¿Qué significa "compliance"?