Disposiciones transitorias para la certificación CMD de ISO 37301
CRITERIOS DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DEL COMPLIANCE CON LA NORMA ISO 37301:2021
ALCANCE DE LA CERTIFICACIÓN Y ALCANCE DEL SISTEMA DE GESTIÓN
CC-CMD-37301-1
13 de octubre de 2022
Versión 01
- Introducción
La norma ISO 37301:2021 define “Compliance” como “el cumplimiento de todas las obligaciones de compliance de la organización”, definiendo “Obligaciones de compliance” como “Requisitos que una organización tiene obligatoriamente que cumplir, así como aquellos que una organización elige voluntariamente cumplir”.
En el aparte 4.3 de la citada norma, denominado “Determinación del alcance del sistema de gestión del compliance” se incluye una nota que establece que “El alcance del sistema de gestión del compliance pretende aclarar los principales riesgos de compliance a los que se enfrenta la organización y los límites geográficos u organizacionales a los que se aplicará el sistema de gestión del compliance, especialmente si la organización es parte de otra entidad más amplia”.
Estas definiciones, así como la nota del aparte 4.3 de ISO 37301, permiten entender que el alcance de la aplicación de la citada norma abarca todas las obligaciones y requisitos que una organización tiene obligatoriamente que cumplir, así como aquellos que una organización elige voluntariamente cumplir, incluyendo asuntos de prevención del delito, lavado de activos, financieros, tributarios, ambientales, laborales, comerciales, de seguridad y salud, de protección de datos personales, seguridad de la información, uso de energía y en general todos los que se desprenden de la naturaleza de la organización o entidad, sus productos, servicios y demás obligaciones que se adquieren para su funcionamiento en el marco legal.
La nota del aparte 4.3 permite a las organizaciones que la aplicación de ISO 37301 se realice parcialmente en algún producto, servicio o actividad o en una(s) de sus sedes, según el análisis estratégico que realice, pero incluyendo todas las obligaciones de compliance.
- La fuerza de la costumbre
En muchas ocasiones alrededor del planeta, muchas normas han sido aplicadas con variantes con el fin de mejorar su aplicabilidad y resultados y estas variantes se asumen como práctica reconocida en algunas comunidades, a pesar de que están actuando al margen de las disposiciones normativas.
En la actualidad, en países como España y algunos del Reino Unido, organismos de certificación, están otorgando certificaciones no acreditadas con la norma ISO 37301 para alcances específicos y para ciertos tipos de obligaciones de compliance, por ejemplo, se otorgan certificaciones para Legislación aplicable de asuntos ambientales o certificaciones ISO 37301 para legislación aplicable anticorrupción.
CMD Certification reconoce que la implementación de un Sistema de Gestión del Compliance con ISO 37301 que se haga secuencialmente o en cascada por tipos de legislaciones es mucho más racional en términos de tiempos de implementación y de mejora de los resultados, pues la pretensión de lograr un control operativo sobre todas las obligaciones de compliance, que son miles en cualquier organización, es una tarea muy compleja y demorada.
- La pieza que falta
Aunque los requisitos en ISO 37301 están claramente establecidos y no es viable llegar a una conclusión diferente del alcance amplio de aplicación de la norma haciendo interpretaciones sistemáticas y exegéticas, también es cierto que la inmensa dificultad de aplicación de la norma y la necesidad real y práctica de las organizaciones, están llevando a hacer implementaciones parciales por tipos de obligaciones de compliance.
A la fecha de publicación de este documento, CMD Certification se encuentra a la espera de una respuesta formal que se elevó respetuosamente a la Organización Internacional para la Normalización ISO sobre la manera correcta de interpretar tanto las definiciones de Compliance, Obligaciones de Compliance y el aparte 4.3 de la norma ISO 37301 frente a la posibilidad de hacer aplicación por tipos de obligaciones de compliance. Así mismo, IAF o IAAC no han publicado a la fecha algún documento que dé las orientaciones para la certificación de los Sistemas de Gestión del Compliance con la norma ISO 37301.
- Forma de operar de CMD Certification y decisiones posteriores
A partir de la fecha de publicación del presente documento, CMD Certification otorgará certificaciones no acreditadas con la norma ISO 37301 con el alcance que la organización haya determinado y sobre el cual logre demostrar control y conformidad, pudiendo incluir algunos tipos específicos de obligaciones de compliance, lo cual se escribirá en el Alcance en el certificado no acreditado otorgado.
Una vez ONAC (Organismo Nacional de Acreditación de Colombia) u otro organismo de acreditación al cual recurra CMD Certification para la certificación acreditada de ISO 37301 notifiquen sobre la regla de interpretación de la citada norma, CMD Certification lo hará con sus clientes certificados.
Si la regla de interpretación dada por el Organismo Acreditador (ONAC u otro al que recurra CMD Certification para su acreditación) es que ISO 37301 debe ser aplicada con todas las obligaciones de compliance para su posterior certificación, los certificados otorgados que no cumplan con esta condición perderán su validez y deberán ser retornados a CMD Certification, así como eliminada cualquier publicidad relacionada con la certificación, sin que esto implique que CMD Certification haya incumplido total o parcialmente los contratos suscritos con sus clientes.
