| 25 años generando CONFIANZA
ISO 37301 apartado 4.1 – Comprensión de la organización y su contexto
Si la norma ISO 37301 se te hace compleja porque su publicación es muy reciente o porque el tema de compliance abarca aspectos legales, financieros y administrativos difíciles de aprender de inmediato, tenemos una solución para ti: nuestros expertos de ISOTools se han dedicado arduamente a interpretar el estándar para aportarte conocimiento sobre los aspectos más relevantes de la ISO 37301.
¿Qué te ofrecemos hoy? Primero, te evitamos leer la norma completa, pues sabemos que si no estás familiarizado con los sistemas de gestión, la tarea puede ser molesta. Segundo, nos enfocamos en un aspecto primordial de la norma, se trata del requisito 4.1, que aborda la comprensión de la organización y su contexto.
La primera aclaración está referida a la necesidad básica de que reconozcamos que una organización no es un ente aislado, sino que forma parte de una comunidad, ecosistema, ciudad, país y continente regido por normas puntuales, y que, para integrarse y relacionarse de forma eficaz, requiere hacerlo desde una cultura y consciencia de cumplimiento, integridad, transparencia y honestidad en cuanto a la prevención de delitos y promover la transparencia y la buena relación con los requisitos de las partes interesadas, en general.
¿Por qué es importante cumplir? Las razones son muchas, pero las más relevantes son el ahorro y reducción de costes, riesgos y daños, aumento de la confianza de clientes y partes interesadas y mejora de la reputación de la empresa.
¿Cómo hacer que los colaboradores comprendan este punto? La alta dirección tiene que promover el compromiso de los colaboradores y socios de negocio, es un factor clave en el éxito de las políticas, procedimientos y programas de cumplimiento. Para lograr el apoyo requerido se pueden otorgar incentivos que motiven a cumplir. Los tipos de incentivos pueden ser financieros (bonos, ascensos, aumento de sueldo…), o no financieros (reconocimiento, formación, eventos, copeeración…).
¿Quiénes somos y hacia dónde vamos?
Aunque los filósofos se hacen estas preguntas desde los inicios de la profesión y hay miles de respuestas posibles, en las empresas necesitamos ser muy precisos al respecto. Es clave que determinemos:
- ¿La organización es de tipo jurídico o mercantil?
- ¿La empresa pertenece al sector público o privado?
- ¿Cuál es el nivel de internacionalización?
- ¿Busca o no el lucro?
- ¿Se trata de una empresa o grupo de empresas?
- ¿Cuáles son los órganos de gobierno y de administración?
- ¿En qué países y sectores opera la organización y cuáles son las leyes y regulaciones que se deben cumplir?
- ¿Cuál es la naturaleza, escala y complejidad de las actividades y operaciones de la compañía?
- ¿Cuál es el nivel de formación e idiomas del personal?
- ¿Cuál es la complejidad de los procesos y de las relaciones con las partes interesadas?
- ¿Qué actividades lleva a cabo la empresa y qué tan complejas son?
- ¿Cuál es la estrategia de negocio y de la organización?
- ¿Cuánta propensión al riesgo de incumplimiento existe?
Y todas las interrogantes que se consideren pertinentes para hacer un análisis completo para saber la realidad de la organización en un momento específico.
¿Qué o quiénes se oponen a que cumplamos nuestros propósitos?
Consideramos particularmente trascendental que seamos capaces de determinar cuáles son los objetivos de compliance de la organización y qué problemas existen dentro y fuera de la empresa que pueden atentar contra tales propósitos.
La norma ISO 37301 no establece un método concreto para hacer el análisis de contexto, por eso somos libres de emplear las herramientas de nuestra preferencia. Una de las más populares y completas es la matriz FODA (fortalezas, oportunidades, debilidades y amenazas), que contempla aspectos internos (debilidades y fortalezas) y externos (amenazas y oportunidades). Esta herramienta puede complementarse con informes de expertos (como abogados que expliquen el contexto legal y regulatorio), estudios sobre la competencia, estudios de mercado, el método Delphi, las 5 fuerzas de Porter, entre otros.
La empresa es libre de utilizar el o los métodos que más le convengan, también de combinarlos según su elección. Todo dependerá de los aspectos a analizar y la forma en que se desee abordarlos.
Los riesgos acechan
Mientras más ligadas estén las actividades empresariales a los gobiernos y a la Administración Pública, más riesgos existirán. Cuando se identifiquen las amenazas más importantes, se pueden elaborar planes de acciones que ayuden a potenciar las fortalezas, gestionar las amenazas y detectar y aprovechar las oportunidades. ¿Suena difícil? Bueno, no te mentiremos, el análisis no es un trabajo sencillo, por eso es que se debe hacer con el compromiso con las personas de mayor nivel de autoridad en las organizaciones. Pero para ello puedes contratar apoyo externo, siempre hay consultores experimentados dispuestos a ayudarte.
¿Qué recomendaciones hay para la comprensión de la organización y de su contexto en el marco de la ISO 37301?
El propósito del 4.1 es dar lugar a la comprensión de la organización (por ejemplo, estratégica) de las cuestiones relevantes que puedan afectar su capacidad de cumplir los compromisos que tienen con los socios de negocio y otras partes interesadas. Los conocimientos obtenidos se utilizan entonces para orientar el enfoque hacia la planificación, implementación, operación y mejora del sistema de gestión del compliance.
La comprensión del contexto consiste en un proceso para revisar toda la información disponible de la organización: lo que hace, dónde, cómo y por qué. Se realiza una evaluación de factores externos y factores clave por su impacto en la organización en términos de sus obligaciones de compliance.
Las obligaciones de compliance más obvias proceden de los contextos legales y regulatorios en los que una organización opera, pero las obligaciones o los riesgos también podrían surgir de otros factores internos que definen el funcionamiento de la organización y la entrega de sus bienes y servicios a sus clientes. La organización debería también considerar las tendencias futuras pertinentes que podrían tener un impacto, por lo tanto este proceso se debe repetir a intervalos planificados, y dada la dinámica actual, estos intervalos deberían ser de corto plazo para estar atentos del devenir de las circunstancias.
Los factores internos también deberían tomarse en consideración. En la ISO 37301 se incluyen algunos ejemplos. La lista no es exhaustiva, pudiendo haber otros que sean pertinentes para una organización y el alcance definido para su sistema de gestión de compliance. A continuación presentamos la lista que menciona la norma:
- el modelo de negocio, que incluye la estrategia, la naturaleza, el tamaño y el nivel de complejidad y sostenibilidad de las actividades y operaciones de la organización;
- la naturaleza y el alcance de las relaciones comerciales con terceras partes;
- el contexto legal y regulatorio;
- la situación económica;
- los contextos social, cultural y ambiental;
- las estructuras, políticas, procesos, procedimientos y recursos internos, incluyendo la tecnología;
- su cultura de compliance.
Finalmente, hay un debate intenso en que si se debería o no conservar información documentada del análisis del contexto, si bien la norma ISO 37301 no hace mención explícita a un requisito de contar con una evidencia documentada, la mejor práctica es que se conserven registros que permitan hacer revisiones periódicas y al estar documentada ayuda la continuidad del análisis y comprender mejor el historial de una organización, que como su contexto está en constante cambio.
¿Necesitas entender y aplicar otros requisitos de la norma ISO 37301? Entonces no te pierdas nuestros próximos artículos.
Software ISO 37001 de ISOTools
Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.
Así lo hace el Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones
Conozca más sobre esta solución preguntando a uno de nuestros asesores.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...