¿Debo implantar un sistema de gestión anticorrupción o un sistema de gestión de cumplimiento? ¿Cuáles son las diferencias entre ambas normas y cómo se puede determinar qué norma es más adecuada para cada empresa? Hablamos con Hans-Jürgen Fengler sobre estas y otras cuestiones. Es auditor tanto de la norma ISO 37001 como de la ISO 37301 y, por lo tanto, es exactamente la persona adecuada con la que hablar.

Hans-Jürgen Fengler, ¡muchas gracias por dedicar su tiempo a esta entrevista! Me gustaría hablar con usted sobre las diferencias entre las normas ISO 37001 e ISO 37301. ¿Podría explicarme brevemente a qué se refiere cada una de estas normas?

Hans-Jürgen Fengler: Con mucho gusto. Ambas normas tratan de la implantación de sistemas de gestión para garantizar el cumplimiento de las leyes y reglamentos. La ISO 37001 se centra específicamente en la lucha contra la corrupción. Proporciona un marco para identificar, evaluar y eliminar los riesgos de corrupción, mientras que la ISO 37301 adopta un enfoque más amplio y cubre todas las obligaciones de cumplimiento de una organización. Esto incluye leyes, reglamentos, pero también compromisos voluntarios como el Pacto Mundial o el Código B.A.U.M..

¿Y cómo funciona la implantación de un sistema de gestión como el descrito en la norma ISO 37301?

Hans-Jürgen Fengler: Según la norma ISO 37301, una organización debe definir un proceso en el que se identifiquen los mayores riesgos de cumplimiento. A continuación, se lleva a cabo una evaluación de riesgos para determinar dónde son necesarias medidas, políticas, etc. Lo mismo debe hacerse para la ISO 37001 sólo para el tema de la corrupción. El sistema se revisa periódicamente y se mejora continuamente para garantizar su eficacia. Al final, se puede solicitar la certificación de un organismo acreditado. Entonces llega un auditor como yo para analizar el sistema de gestión y comprobar su potencial de optimización. La clave está en desarrollar un sistema de gestión del cumplimiento a medida que satisfaga los requisitos y riesgos específicos de la organización y se mejore continuamente.

En otras palabras, si la gestión del cumplimiento muestra que la corrupción es un problema importante, ¿entonces tengo que recurrir a la ISO 37001?

Hans-Jürgen Fengler: Sí, puede hacerlo. La norma ISO 37001 trata de la corrupción. Esto significa que si la corrupción es el riesgo de cumplimiento más importante, puede concentrarse en la norma ISO 37001. Sin embargo, si la corrupción no es el tema más relevante, entonces tiene más sentido introducir el sistema de gestión del cumplimiento. También es posible utilizar los contenidos de la norma ISO 37001 para optimizar el sistema de gestión del cumplimiento en lo que respecta a la lucha contra la corrupción y, de este modo, mejorar y concretar el sistema de gestión en su conjunto. A la hora de decidir entre ISO 37301 e ISO 37001, siempre surge la pregunta: ¿Qué quiero demostrar a mis partes interesadas, cuáles son sus requisitos? ¿Y qué tiene sentido para mí como organización? Además, hay países en los que la ley también exige un sistema de gestión anticorrupción conforme a la norma ISO 37001 para determinados sectores, por ejemplo, en el sector de la construcción en Italia o para las sociedades anónimas de la bolsa francesa. En estos casos, la cuestión no se plantea y la certificación ISO 37001 es obligatoria.

El número 37301 viene después del 37001. ¿En qué consiste esta designación?

Hans-Jürgen Fengler: La ISO 37001 ya se publicó en 2016, mientras que la ISO 37301 no entró en vigor hasta 2021. La norma predecesora de la ISO 37301, la ISO 19600, solo se diseñó como directriz y no contenía ningún requisito específico, ni se podía emitir un certificado acreditado. Como la ISO 37001 ya llevaba el número 37001, se eligió el número 37301 para la nueva norma, más completa. Todo lo publicado por ISO en el ámbito de los sistemas de gestión de la conformidad puede encontrarse en la serie 37000. Y por eso la ISO 37301 también se ha clasificado aquí.

¿Hasta qué punto son adecuadas las normas ISO 37001 e ISO 37301 para organizaciones de distintos tamaños, sectores y ubicaciones geográficas?

Hans-Jürgen Fengler: Básicamente, todas las normas ISO de sistemas de gestión son adecuadas para organizaciones de diferentes tamaños, sectores y ubicaciones geográficas. Las normas ISO 37001 e ISO 37301 no son una excepción. El capítulo 4 "Contexto de la organización" especifica qué requisitos específicos de la empresa están asociados al sistema de gestión en detalle y qué es necesario tener en cuenta. En una organización grande, hay más requisitos que en una pequeña. Por supuesto, todo esto influye mucho en los requisitos de cumplimiento que hay que tener en cuenta específicamente.

Un factor importante en términos de ubicación geográfica es que el riesgo de corrupción es mayor en unos países que en otros. Transparencia Internacional ofrece el Índice de Percepción de la Corrupción (IPC). Se compone de 13 índices individuales, doce instituciones independientes y entrevistas a expertos, e indica el riesgo de corrupción en las distintas regiones del mundo.

Si trabajo en un país o en cooperación con un país en el que los riesgos de corrupción se califican como altos, es necesario instalar mecanismos de control más detallados que en un país en el que los riesgos de corrupción son menores y suelo tener que controlar menos. En otras palabras, la ubicación geográfica influye en el diseño específico del sistema de gestión.

¿Es obligatorio tener las normas certificadas o basta con implantar un sistema de gestión adecuado?

Hans-Jürgen Fengler: La certificación es, por supuesto, opcional. Sin embargo, puede ayudar a las empresas a documentar sus obligaciones de cumplimiento y demostrarlas a las partes interesadas.

¿En qué medida pueden integrarse las normas ISO 37001 e ISO 37301 con otras normas de sistemas de gestión como ISO 9001?

Hans-Jürgen Fengler: Ambas normas se basan en la Estructura de Alto Nivel (HLS), o Estructura Armonizada (HS), que también utilizan otras normas ISO de sistemas de gestión. Por tanto, la integración es posible en principio.

Sin embargo, que la integración tenga sentido depende de cada organización y de sus requisitos específicos.

¿Es posible también certificar sólo determinadas partes o actividades dentro del ámbito de aplicación de las normas?

Hans-Jürgen Fengler: En principio, la certificación parcial es posible. Sin embargo, esto resulta problemático en el caso de cuestiones de conformidad, ya que los requisitos suelen afectar a toda la organización. Por lo tanto, la certificación de áreas individuales requeriría demarcaciones artificiales que son casi imposibles de aplicar en la práctica.

Muchas gracias por sus interesantes comentarios.

La entrevista fue realizada por Constanze Illner.

Autor
Hans-Jürgen Fengler

Hans-Jürgen Fengler es Global Product Manager ESG Services en DQS. En este puesto, es responsable de varios servicios ESG. Tras licenciarse en Económicas con especialización en Ecología, el Sr. Fengler trabajó inicialmente en consultoría medioambiental y elaboración de informes de sostenibilidad. Posteriormente se centró en los criterios y requisitos de los productos financieros sostenibles. El Sr. Fengler lleva 8 años trabajando en el campo de la certificación de sistemas de gestión y también es auditor de diversas normas ISO para DQS.

Loading...

Artículos y eventos relevantes

También puede interesarle esto
Blog
compliance-header-blog-säulen gerichtsgebäude
Loading...

La gestión del cumplimiento en las PYME: ¿necesaria u opcional?

Blog
dqs-informiert-header-blog-viele bunte buecher in regalen in bibliothek
Loading...

¿Qué significa "compliance"?

Blog
compliance-header-blog-säulen gerichtsgebäude
Loading...

Una gestión eficaz del cumplimiento normativo reduce los riesgos de responsabilidad