Auditoría de compliance con la futura ISO 37301

ISO 37301

La auditoría interna es una de las herramientas más poderosas que nos ofrecerá el reciente miembro de la familia de normas 37000. El año 2021 verá el alumbramiento de la norma ISO 37301 – Sistema de gestión de cumplimiento, que ahora se encuentra en fase FDIS (discusión y correcciones). Si consideras que las auditorías – internas o externas – son un reto, generan temor e incertidumbre, queremos comentarte que comprendemos que la idea de que tu trabajo sea evaluado, medido y calificado puede resultar inquietante, pero, no se trata de un ataque frontal, sino de un aporte significativo, concienzudo, enriquecedor y capaz de llevar tu trabajo a un nivel superior.

La auditoría es una aliada, una que tiene ojos bien abiertos y oído aguzado, que sabe leer entre líneas. Y, sobre todo, que no se dedica a juzgar, sino a detectar equívocos que tal vez no sabes que existen, y que, al conocer, te darán una idea global de hacia dónde pueden apuntar tus esfuerzos y los de tu equipo de trabajo. Puedes verlo como un chequeo médico de rutina al que aparentemente vas en muy buen estado de salud, pero que revela algún mal menor que, gracias a que asististe al chequeo, podrás combatir a tiempo con todo el éxito posible. El auditor, por lo tanto, no es un sujeto que amenaza nuestra estabilidad, de ninguna forma constituye una amenaza. Más aún si su labor apunta a corroborar el cumplimiento de la organización en todos los aspectos relevantes de sus quehaceres. ¿Cómo saber cuáles son esos aspectos?

La norma ISO 37301 señala cómo deben llevarse a cabo las auditorías, establece que la compañía requiere planificar la realización de estos procesos con cierta regularidad, para que sea posible conocer si el sistema de gestión de cumplimiento (SGC) se ajusta a los requisitos de la empresa y a los de la norma. También para precisar si la implementación y mantenimiento resultan efectivos.

Los “debe” del estándar

El camino que traza la norma no es confuso ni deja lugar a dudas. Todo lo contrario: dibuja un camino a seguir que, de transitarlo, garantiza cubrir todas las áreas concernientes al compliance. Para eso estipula que la organización debe:

• Planificar, establecer, implementar y mantener un programa o programas de auditoría que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la presentación de informes, que deberán tener en cuenta la importancia de los procesos en cuestión y los resultados de las auditorías anteriores;
• Definir los criterios de auditoría y el alcance de cada auditoría;
• Seleccionar auditores y realizar auditorías para asegurar la objetividad y la imparcialidad del proceso de auditoría;
• Asegurarse de que los resultados de las auditorías se informen a la dirección pertinente (área de cumplimiento, alta dirección y/u órgano de gobierno).
• Conservar información documentada como evidencia de la implementación del programa o programas de auditoría y los resultados de la auditoría (la norma ISO 19011: 2018 proporciona orientación sobre la auditoría de los sistemas de gestión).

¡Más claro imposible! La auditoría te permitirá saber si el sistema de gestión de compliance se implantó de manera idónea, qué tanto se adecúan las prácticas organizacionales a la norma, cómo es el desempeño del SGC, qué está saliendo mal, cómo hacer que los procesos sean más eficaces, qué sugerencias tienen los colaboradores y demás involucrados, qué podemos mejorar, en qué punto deseamos estar y qué tan cerca estamos de lograrlo.

¿Ahora qué sigue?

Si la auditoría fue hecha y se generaron hallazgos relevantes, ¡enhorabuena! Todavía hay mucho por hacer, pero al menos sabes que vas en la dirección correcta, y una buena forma de actuar sería que la alta dirección y el órgano de gobierno verifiquen frecuentemente cómo va el CMS (compliance management system) y hagan aportes para la mejora continua del mismo.

La norma ISO 37301, que en ningún momento nos deja desasistidos, también indica con precisión las tareas que tienen que llevar a cabo las autoridades de la empresa, y son, fundamentalmente, considerar:

• el estado de las acciones de revisiones por la dirección anteriores;
• cambios en asuntos externos e internos que son relevantes para el SGC;
• información sobre el desempeño de cumplimiento, incluidas las tendencias en:

– no conformidades, incumplimientos y acciones correctivas;

resultados de seguimiento y medición;

– resultados de la auditoría;

• oportunidades de mejora continua.

Y, por supuesto, la revisión por la dirección deberá tener en cuenta:

– la adecuación de la política de cumplimiento;

– la medida en que se han cumplido los objetivos de cumplimiento;

– adecuación de los recursos;

– la eficacia de los controles e indicadores de rendimiento existentes;

– comunicación de personas que plantean inquietudes, partes interesadas, incluidos comentario y quejas;

– investigaciones;

– la eficacia del sistema de notificación.

Software para los sistemas de gestión de compliance

Ante la situación que se plantea, el Software ISOTools para la gestión del Compliance ofrece salidas y soluciones a las alternativas manuales.

Reportar y revisar las tendencias de los indicadores, será tan fácil como hacer “clic” y ejecutar un informe o memoria que permita tomar las mejores medidas al respecto.

Auditar de manera remota, es una opción que ISOTools plantea ya desde hace años en su forma de trabajo, por lo que os ofrecemos la máxima innovación y experiencia a vuestro alcance.

Si quieres conocer más, solicítanos contacto.