Norma ISO 37301: Afrontando el tsunami regulatorio en la UE

“Esta norma puede actuar como un mecanismo para abordar el tsunami regulatorio al introducir un sistema de gestión adaptativo y proactivo en este mundo cada vez más regulado”

13 Febrero 2025

En este recién estrenado 2025 nos encontramos en un momento particularmente complejo en el ámbito del compliance y la sostenibilidad.

Por un lado, nos encontramos en el océano de normas y estándares voluntarios en cualquier área de gestión, lo que ha dificultado la identificación de aquellos que realmente aportan valor a sus grupos de interés. Por otro lado, se presenta un escenario sin precedentes en cuanto a normativas de obligado cumplimiento en los campos de la sostenibilidad y la ética empresarial. Ante el elevado número de requisitos legales, cabe preguntarse:

¿Quién podría considerar, además, la adopción de una norma voluntaria?

Para aquellos que aún no están familiarizados con esta realidad, recordamos que la Unión Europea ha consolidado tendencias sostenibles y políticas con un marcado enfoque ético y medioambiental en una amplia variedad de normativas de obligado cumplimiento, las cuales han sido desarrolladas de manera simultánea en diversos sectores. Hablamos de las Directivas CSRD, CS3D, NEIS 2 y EUDR, así como la posible inclusión de una nueva directiva relacionada con la Inteligencia Artificial.

Este desarrollo se da en un contexto en el que aún no se han consolidado ni implementado plenamente otras normativas relevantes, como la UE Taxonomy, la Directiva de Whistleblowing (traspuesta mediante la L2/2023), el Reglamento DORA o el Reglamento General de Protección de Datos.

No es sorprendente que la Comisión Europea esté trabajando en una Ley Ómnibus, que pretende agrupar, centralizar y simplificar todas estas normativas en un único cuerpo legislativo. Aunque este proyecto aún se encuentra en fase de desarrollo, queda por ver si se materializará en el futuro cercano. Mientras tanto, surge la pregunta: ¿existe algún “estándar Ómnibus” que permita a las organizaciones mantener todo bajo control? La respuesta a esta cuestión ya la tenemos, y se denomina ISO 37301:2021 

¿QUÉ ES LA ISO 37301?

La Norma ISO 37301 es un estándar internacional de Corporate Compliance, de voluntaria adopción. 

La Norma cuenta con un marcado enfoque holístico, ya que sirve de marco de integración de todas las áreas de gestión (compliance penal, medioambiente, seguridad de la información…) y en la totalidad de las organizaciones, sin importar el sector de actividad. 

La ISO 37301 se crea para alinear el cumplimiento regulatorio con otros objetivos organizacionales, como la sostenibilidad y la ética empresarial. 

¿CÓMO ME PUEDE AYUDAR LA ISO 37301?

La Norma ISO 37301 se centra en el enfoque en el riesgo siguiendo los pasos de otras normas de compliance como la ISO 37001 o la UNE19601, apuntalada con la metodología de gestión de riesgos de la Norma ISO 31000. 

La ISO 37301 está configurada con la estructura de Alto Nivel que permite una fácil integración de sistemas maduros de nuestras organizaciones, y como siempre con un trasfondo basado en la mejora continua mediante el ciclo PDCA (Plan, Do, Check, Act)

En esencia, la ISO 37301 nos facilita un camino hacia la resiliencia regulatoria. En primer lugar, porque recopila todas las posibles áreas, dando cierto sentido al conocimiento integral de la organización para ejercer la función de compliance, con garantías. Y gracias a esta comprensión, más completa y con perspectiva preventiva y ética, nos acercamos a la esencia de un sistema de compliance, es decir, interiorizando que un sistema de compliance es mucho más que simplemente evitar sanciones, si no hacer de tu empresa el socio con el que todos los stakeholders estén deseando trabajar. El negocio no cesa.

La ISO 37301 puede actuar como un mecanismo pragmático para abordar el tsunami regulatorio al introducir este sistema de gestión adaptativo y proactivo en este mundo cada vez más regulado.

¿DESAPARECEN ENTONCES EL RESTO DE NORMAS?

No. La colección de Normas ISO/UNE u otros estándares, sirven para la efectiva y detallada gestión de cada área con sus especificaciones y necesidades concretas. No obstante, es gracias a esta norma, la ISO 37301, que finalmente podemos “traducir” cada uno de los requisitos, impactos y ventajas en Riesgos y Oportunidades estratégicos, por fin alineados con un marco común y escalable en función de su importancia relativa global en la organización. 

En otras palabras: Como el tiempo no es infinito, nos ayuda a priorizar y focalizar, para que el Compliance Officer y el Comité de Riesgos puedan respirar, sin dejar de ver/controlar todo el mapa.

REQUISITOS GENERALES DE LA NORMA ISO 37301: 2021

Para cumplir con los requisitos de la Norma ISO 37301 deberemos cumplir con todos los requisitos de la norma, no obstante, haremos hincapié en los siguientes requisitos (que por cierto guardan similitud con lo requerido en las normativas antes citadas, como la Directiva de CS3D)

Análisis y evaluación de riesgos

• La organización debe identificar, analizar y valorar sus riesgos de compliance basándose en una evaluación.
• Se relacionarán sus obligaciones de compliance con sus actividades, productos, servicios y aspectos pertinentes de sus operaciones, así como de aquellos contratados externamente y de tercera parte.

Liderazgo y Compromiso y Cultura de Compliance

• El órgano de gobierno y la alta dirección deben demostrar liderzago y compromiso respecto al sistema de gestión de compliance.
• La organización debe desarrolar, mantener y promover una cultura de compliance a todos los niveles de la organización.

Acciones para abordar riesgos y oportunidades

• Enfoque Preventivo de acción. 
• Anticipar escenarios y consecuencias potenciales, basandose en los resultados de la evaluación de los riesgos de compliance. Tambien Incluir las acciones consideradas beneficiosas o necesarias para el sistema y los procesos de negocio. 

Operación, Diligencia debida y Procesos de investigación

• La organización debe planificar, implementar y mantener los controles y establecer procesos de diligencia debida con sus socios de negocio para la gestión de sus obligaciones y riesgos de compliance.
• Se establecerá un mecanismo de información interno acompañado de una sistematica de  investigación para el planteamiento de inquietudes o denuncias.

¿Cómo podemos ayudarte?

En TÜV SÜD ayudamos a las empresas a implementar sistemas de Corporate Compliance eficaces y adaptados a sus necesidades mediante un enfoque integral y servicios especializados. Ofrecemos:

• GAP Análisis ISO 37301: Evaluamos el nivel de madurez respecto a la norma y diseñamos planes de acción personalizados para una implantación eficiente.
• Análisis de riesgos y oportunidades: Identificamos riesgos potenciales y áreas de mejora basándonos en las normas ISO 31000 y ERM/COSO, implementando estrategias de mitigación y desarrollo.
• Consultoría y capacitación: Brindamos asesoramiento, formación y apoyo para implementar políticas y procedimientos según la norma ISO 37301, estableciendo sistemas de gestión robustos.
• Software de compliance y canal de denuncias: Proveemos herramientas tecnológicas avanzadas para la gestión completa de sistemas de compliance y la administración de canales de denuncia, cumpliendo con la normativa UNE/ISO y la Ley 2/2023.
• Auditorías internas y de segunda parte: Evaluamos el cumplimiento normativo de las empresas y sus socios, identificando áreas de mejora y ofreciendo recomendaciones prácticas.

Conclusiones

En definitiva, la ISO 37301 se convierte en un aliado esencial para las empresas al proporcionar un marco común que facilita la priorización de recursos y la focalización de esfuerzos en las áreas clave para el cumplimiento. A pesar de no reemplazar a otras normativas específicas, su implementación permite simplificar el proceso de integración y asegurar que los sistemas de cumplimiento sean más robustos, escalables y alineados con los objetivos organizativos. 

¿Quieres proteger tu negocio y hacer frente a las normativas europeas?

Contáctanos. Estaremos encantados de ayudarte