Guia Practica Compliance 37301 Compress

Guía práctica de compliance

según la Norma
Norma ISO 37301:2021
37301:2021
Alain Casanovas Ysla
Este documento ha sido adquirido

adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.


Guía práctica de
compliance según la




Guía práctica de
compliance según la
Alain Casanovas Ysla


Título: Guía práctica de compliance según la Norma ISO 37301:2021. PDF

Autor: Alain Casanovas Ysla
Ysla
© AENOR Internacional, S.A.U., 2021

Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin
la previa autorización escrita de AENOR Internacional, S.A.U.
S.A.U.
ISBN: 978-84-17891-38-1
Edita: AENOR Internacional, S.A.U.

Maqueta: Block Comunicaciones
Diseño de cubierta: AENOR Internacional, S.A.U.
S.A.U.
Nota: AENOR Internacional, S.A.U. no se hace responsable de las opiniones expresadas por el autor
en esta obra.
Génova, 6. 28004 Madrid

Tel.: 914 326 036 • [email protected]
[email protected] • www.aenor.com


Dedicado a la comunidad de compliance




Índice
Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Prólogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Abreviaturas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Parte I
Historia y características del estándar ISO 37301:2021
I.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
I.1.1. El estándar AS 3806:2006
3806:2006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
I.1.2. El estándar ISO 19600:2014
19600:2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
I.2. La HLS de ISO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
I.3. El proceso de normalizaci
normalización ón del estándar ISO 37301:2021 . . . . . . . . . . . . 31
sistema de gestión. . . . . . . . . . . . . . . . 33
I.4. El estándar ISO 37301:20
37301:2021
I.4.1. De los programas de21 como
compliance a
compliance a los sistemas
los sistemas de gestión
gestión . . . . . . . . . 33
I.4.2. La normalización internacional en materia de compliance
tiende a los sistemas
los sistemas de gestión
gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
37301:2021 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
I.5. Singularidades
Singularidades del estándar ISO 3 37301:202
7301:2021 1. . . . . . . . . . . . . . . . . . . . . . 37
I.5.1. El estándar IS
ISO
O 37301:2021 y la cultura de compliance compliance . . . . . . . . . . . 37
I.5.2. Las dos fuentes de obligaciones de compliance . . . . . . . . . . . . . . . . . . 40
I.5.3. Las no conformidades y
conformidades y los no cumplimientos de compliance compliance . . . . . . . . 42
I.6. Principios rectores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
I.6.1. Principios explícitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
I.6.1.1. Principio ddee buen gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . 46
I.6.1.2. Principio de proporcionalidad . . . . . . . . . . . . . . . . . . . . . . . . 46

9

10 Guía práctica de compliance

compliance según
según la Norma ISO 37301:2021
I.6.1.3. Principio de integridad

integridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
I.6.1.4. Principio de transparencia
transparencia . . . . . . . . . . . . . . . . . . . . . . . . . . 50
I.6.1.5. Principio de responsabilidad
responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . 50
I.6.1.6. Principio de sostenibilidad
sostenibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . 51
I.6.2. Principios implícitos
implícitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
I.6.2.1. Principio de subordinación a LLey ey . . . . . . . . . . . . . . . . . . . . . 52
I.6.2.2. Enfoque basad
basadoo en el riesgo
riesgo . . . . . . . . . . . . . . . . . . . . . . . . 53
I.6.2.3. Principio de seguridad razonable
razonable . . . . . . . . . . . . . . . . . . . . . 58
I.6.2.4. Principio de mejora continua
continua . . . . . . . . . . . . . . . . . . . . . . . . 60
Parte II
Comentarios al contenido del estándar ISO 37301:2021
II.0. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
II.1. Objeto y campo de aplicación
aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
II.2. Referencias normativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
II.3. Términos y definiciones
II.3.1. Organización
Organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
II.3.2. Parte interesada
interesada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
II.3.3. Alta dirección
dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
II.3.4. Sistema de gestión
gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
II.3.5. Política
Política . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
II.3.6. Objetivo
Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
II.3.7. Riesgo
Riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
II.3.8. Proceso
Proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
II.3.9. Competencia
Competencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
II.3.10. Información documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
II.3.11. Desempeño
Desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
II.3.12. Mejora continua
continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
II.3.13. Eficacia
Eficacia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
II.3.14. Requisito
Requisito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
II.3.15. Conformidad
Conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
II.3.16. No conformidad
conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
II.3.17. Acción correctiva
correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
II.3.18. Auditoría
Auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
II.3.19. Medición
Medición . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
II.3.20. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
II.3.21. Órgano de gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96


Índice 11
II.3.22. Personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
II.3.23. Función de compliance
compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
II.3.24. Riesgo de compliance
compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
II.3.25. Obligaciones de compliance
compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
II.3.26. Compliance
Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
II.3.27. No cumplimiento de compliance
de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . 104
II.3.28. Cultura de compliance
compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
II.3.29. Conducta
Conducta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
II.3.30. Tercera parte
parte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
II.3.31. Procedimiento
Procedimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
II.4. Contexto de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
II.4.1. Comprensión de la organización
organización y y de su contexto .
contexto . . . . . . . . . . . . . . . 114
II.4.2. Comprensión de las necesidades y expectativas
de las partes interesadas
interesadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
II.4.3.
Determinación
II.4.4. del de
Sistema de gestión de
gestión alcance del
del sistema
compliance
compliance sistema
. . . .de. .gestión del
gestión
. . . . . del
. . . compliance
compliance
. . . . . . . . . .. .. .. 112216
II.4.5.
Obligaciones de compliance .
compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
II.4.6.
Evaluación de los riesgos de compliance
compliance . . . . . . . . . . . . . . . . . . . . . 130
II.5. Liderazgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
II.5.1. Liderazgo y compromiso
compromiso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
II.5.1.1. Órgano de gobierno y
gobierno y alta dirección
dirección . . . . . . . . . . . . . . . . . 151
II.5.1.2. Cultura de compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
II.5.1.3. Gobernanza del compliance.
compliance . . . . . . . . . . . . . . . . . . . . . . . . 167
II.5.2. Política
Política de
de compliance
compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
II.5.3. Roles, responsab

responsabilidades
II.5.3.1. Órganoilidades y autoridades
de gobierno y
gobiernoautoridades . . . . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
y alta dirección 119910
II.5.3.2. Función de compliance
compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
II.5.3.3. Dirección
Dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
II.5.3.4. Personal
Personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
II.6. Planificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
II.6.1. Acciones para aabordarbordar los riesgos y oportunidades
oportunidades . . . . . . . . . . . . . . . 213
II.6.2. Objetivos
Objetivos de de compliance
compliance y y planificación para lograrlos .
lograrlos . . . . . . . . . . . 216
II.6.3. Planificación de los cambios
cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
II.7. Apoyo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
II.7.1. Recursos
Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
II.7.2. Competencia
Competencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
II.7.2.1. Generalidades
Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229



compliance según
II.7.2.2. Proceso de empleo

empleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
II.7.2.3. Formación
Formación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
II.7.3. Toma de conciencia
conciencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
II.7.4. Comunicación
Comunicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
II.7.5. Información documentada.

documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
II.7.5.2. Creación y ac actualización
tualización de la información documentada documentada . . 258
II.7.5.3. Control de la información documentada .
documentada . . . . . . . . . . . . . . . 259
II.8. Operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
II.8.1. Planificación y control operacional
operacional . . . . . . . . . . . . . . . . . . . . . . . . . 262
II.8.2. Establecimiento de controles y procedimientos
procedimientos . . . . . . . . . . . . . . . . . 265
II.8.3. Planteamiento de inquietudes
inquietudes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
II.8.4. Procesos
Procesos de de investigación
investigación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
II.9. Evaluación del desempeño 283
II.9.1. Seguimiento,
Seguimiento , medición
medición,, análisis
Generalidades . . . . . y. .evaluación
evaluación
. . . . . . . . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. 228844
II.9.1.2. Fuentes de opinión sobre el desempeño desempeño del del compliance
compliance . . . 287
II.9.1.3. Desarrollo de indicadores
indicadores . . . . . . . . . . . . . . . . . . . . . . . . . 289
II.9.1.4. Informes de compliance
compliance . . . . . . . . . . . . . . . . . . . . . . . . . . 290
II.9.1.5. Mantenimiento de registros registros . . . . . . . . . . . . . . . . . . . . . . . . 293
II.9.2. Auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
II.9.3. Revisión ppor
or la dirección
dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
II.10. Mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
II.10.2. No conformidades y
conformidades y acciones correctivas correctivas . . . . . . . . . . . . . . . . . . . . 313
documentada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Anexo I. Información documentada
Preguntas frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Anexo II. Preguntas
Sobre el autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335


Presentación
Los principios sobre los que se fundamenta la credibilidad y confianza de la activi-
dad de normalización:
diversidad, la transparencia,
han evidenciado el consenso,
en estos últimos la imparcialidad,
años su enorme potencial lapara
apertura
aportary
soluciones a los grandes temas que preocupan a la sociedad y a las empresas para
llegar a crear normas en disciplinas como la ética, la responsabilidad social, la gober-
nanza y el compliance. La normalización da respuesta eficaz a los grandes desafíos de
las organizaciones.
La normalización posibilita que las partes interesadas pongan en común sus necesi-
dades y sus conocimientos para ofrecer soluciones técnicas (las normas) que ayudan
a lograr un mundo más seguro, desarrollado y sostenible;
sostenib le; y es por ello, que terminará
estando presente en cualquier ámbito en el
e l que se detecte la necesidad de llev
llevar
ar a cabo
una ordenación o de establecer un lenguaje común.
El compliance irrumpe en el mundo de la normalización internacional en el año 2013
en el que, desde la Organización Internacional de Normalización (ISO), dando
respuesta a las necesidades del mercado, se decide empezar a trabajar en una norma
que pueda convertirse en referente
referente internacional para las organizaciones a la hora de
entender qué es el complianc
compliancee y cómo gestionar los riesgos de cumplimiento a los
que se enfrentan.
España, a través de la Asociación Española de Normalización, UNE, y del ahora
órgano técnico CTN 165/SC3 Sistemas de gestión del cumplimiento y sistemas de gestión
anticorrupción, se sumó entonces de forma inmediata y activa a los trabajos interna-
cionales. En 2014, se publicó la Norma ISO 19600 Sistemas de gestión de compliance.
Directrices, posteriorm
posteriormente
documento ayudó a queente
en adoptada como
nuestro país norma española
el compliance UNE-ISO
pasase, 19600.
de ser una Este
disciplina
prácticamente exclusiva de empresas multinacionales o de sectores muy regulados,

13


compliance según
a ser foco de interés para todas aquellas organizaciones preocupadas por sus riesgos
corporativos, especialmente tras la reforma del Código Penal de 2015.
Esta norma proporcionaba únicamente recomendaciones en materia de compliance y
de ahí que pocos años después de su publicación, y respondiendo a la demanda del
mercado,, haya sido preciso trabajar en su revisión para transformarla en una norma
mercado
también de requisitos. Es así como se llega a la publicación de la Norma ISO 37301
Sistemas de gestión de compliance. Requisi
Requisitos
tos con orient
orientación
ación para su uso. Esta norma ofrece
una visión más madura y evolucionada del compliance, pero no sólo eso, el sistema
de gestión que establece permite a las organizaciones demostrar su compromiso
para cumplir con las leyes y con otros compromisos asumidos de forma voluntaria
(incluidos lo de carácter ético) y poder hacer visible ese compromiso ante sus grupos
de interés a través de una posible certificación.
Como Director General de UNE y como miembro del Consejo de Administración
de ISO, l a Guía práctica de compliance según
ISO, es para mí un enorme honor prologar la
la N orma
Norma
ciones y aISO 3730
37301:202
1:2021
los expertos en1, comp
de Alain
complian ceCasanovas,
liance que va a permitir
entender, interpretar a las
y aplicar organiza-
esta norma,
tan necesaria.
La Norma ISO 37301:2021, por su carácter de norma de alto impacto, cuenta con
una versión ISO oficial en español, fruto del trabajo del grupo de traducción al es-
pañol, ISO/TC 309/STTF (Spanish Transla
ranslation
tion Task Force), compuesto por 12 países
de habla hispana. La Norma ISO 37301 en español ha sido adoptada como Norma
UNE-ISO 37301, con contenido idéntico.
En este libro encontramos un contenido privilegiado. La actuación de su autor como
presidente del órgano técnico de normalización nacional de compliance (CTN 165/
SC3), su participación como delegado y experto español en el comité internacional y
los grupos de trabajo que la han elaborado (ISO/TC 309 Governance of organizations),
así como su dilatada experiencia profesional en la implementación de sistemas de
gestión de compliance, le hacen poseedor de un conocimiento único sobre la letra y
el espíritu de la norma a nivel internacional, y sobre cómo trasladar ese conocimiento
de forma práctica.
Antes de despedir estas líneas no quiero dejar de plasmar algunos agradecimientos:
gracias a ISO por continuar atendiendo los retos de la sociedad aportando soluciones
globales; gracias a las entidades españolas del CTN 165/SC3, por hacer posible la
participación española en los foros internacionales de normalización en el ámbito del
compliance; gracias a Alain Casanovas por compartir su sabiduría y su dilatada expe-
riencia;
de AENOR y gracias a la Dirección
por contribuir de Servicios
a la difusión de ladenormalización
Información Sectorial y a la editorial
y del conocimiento con
el rigor de siempre.


Presentación 15
Confío en que tanto la norma, como este libro,

libro, impulsen de manera definitiva a nivel
mundial la cultura del compliance, y con ella la de la integridad y la sostenibilidad.
Algo coherente con la misión de UNE de impulsar la mejora de la competitividad
de nuestros sectores económicos y el bienestar social.

Javier García
DIRECTOR G
GENERAL
Asociación Española de Normalización, UNE

y miembro del Consejo de Administración de ISO




Prólogo
La evolución de un estándar
El
susimpacto delSería
fronteras. estándar australiano
equivocado decirAS 3806:2006
que Compliance
fue el primer Programs
texto sobre trascendió
compliance , pues
era una materia ya tratada en documentos de recomendaciones tanto nacionales como
internacionales. Sin embargo, estos textos hacían referencia a mercados o sectores
regulados (banca, principalmente) o a riesgos de compliance
compliance específicos (especialmente
los de soborno). El acierto del estándar australiano fue brindar una visión del com-
pliance apta para cualquier tipo de organización y materia.
Tant
Tantoo ISO como
como las entida
entidades
des de normal
normaliza
ización
ción naciona
nacionales
les que la integr
integran
an solo redac
redactan
tan
estándares cuando advierten su conveniencia: su objetivo no es generar necesidades,
sino dar respuesta a las mismas. Por su gran aceptación, está claro que el estándar AS
3806:2006 fue una respuesta acertada a la demanda de los agentes sociales y econó-
micos. Considerando el éxito que había tenido en otros países, se valoró y aceptó
producir un estándar internacional que lo tomaría como punto de partida. Así, en
2013 se obtuvo el consenso para iniciar el proceso de elaboración del estándar ISO
19600. En aquel momento no se consideró que fuese preciso configurarlo como un
MSS de tipo A (certific
(certificable),
able), al no percibir
percibirse
se tal necesidad.
necesidad. Sucedió
Sucedió lo contrario
contrario con
el estándar ISO 37001 sobre sistemas de gestión antisoborno donde, comenzando su
proceso
proceso de normalización muy poco tiempo después, sí se convino que fuera certificable.
certificable.
La divulgación general del compliance en la sociedad suele darse a raíz de regulaciones
que afectan a un amplio espectro de sujetos. La lucha contra
con tra la corrupción y la preven-
ción de determinados actos criminales está provocando la exigencia de mecanismos
de compliance
c ompliance en entidades de cualquier tamaño y sector en diferentes países. Esto
contribuye a generalizar este concepto de compliance.
No obstante, y una vez puesto el foco inicial en la prevención de los no cumplimien-
tos de compliance más graves –los de naturaleza criminal–, la progresión normal en
17


compliance según
la curva de madurez de las organizaciones lleva a poner medios para la prevención,

detección y gestión temprana del resto de no cumplimientos
cumplimientos de compliance que pueden
comprometerlas
compromete rlas igualmente. En este escenario, adquiere importancia disponer de un
estándar capaz de generar confianza en el mercado, susceptible soportar procedimie
procedimientos
ntos
de verificación
al mercado de la conformidad
un estándar con su contenido. Es decir,
certificable. decir, la necesidad de facilitar
Esta evolución, junto con la constante progresión de las buenas prácticas en materia
de compliance, propició la revisión de la norma ISO 19600:2014. Esta iniciativa coin-
cide con la agrupación de los estándares ISO sobre compliance bajo la serie 37000 de
normas, encabezada por el primer sistema de gobierno de las organizaciones.
Desde una perspectiva muy simple, se podría pensar que el estándar ISO 37301:2021
es solo la versión certificable de la norma previa ISO 19600:2014. Pero esta visión
sería completamente errónea: su contenido no solo aborda materias que no fueron
reguladas con anterioridad (como los proce
procesos
sos de empleo, el proc
proceso
eso para el planteamiento
de inquietudes o el de investigaciones, por ejemplo), sino que también se tratan las
clásicas de manera distinta (el gobierno de compliance o la cultura de compliance, por
ejemplo). Se hace eco de nuevas prácticas generalmente aceptadas en la comunidad
internacional, de un tiempo a esta parte.
Responsabilidad frente a la comunidad de compliance

Al haber
haber participado como experto en los comités de normalización de los estándares
estándares
ISO 19600:2014 e ISO 37001:2016, era depositario de una responsabilidad ante la
comunidad de compliance: trasladar la trascendencia del estándar ISO 37301:2021 y
brindar informaciones útiles para su interpretación.
in terpretación.
Como partícipe en los debates entre expertos que han concluido en el texto actual, me
sentía obligado a trasladar la lógica de sus disposiciones, el porqué de su redacción y,
y,
sobre todo, señalar sus omisiones deliberadas. Solo así se adquiere plena conciencia
de su orientación. El lector puede así disfrutar de una visión de primera línea de la
norma, que le ayudará a aplicarla de forma certera.
Algunas convenciones
Los estándares son de aplicación voluntaria y no tienen ni la vocación ni la naturaleza
de un texto jurídico. Sus conceptos son siempre organizativos y huyen de términos
legales que vinculen el contenido de las normas a una tradición jurídica o que con-
dicionen la interpretación de sus requisitos. Esto se observa en la propia definición
de organización que emplean los
l os sistemas de gestión ISO, que no es equivalente a la
de persona o entidad jurídica que se halla en algunos textos legales sobre compliance.


Prólogo 19
Sin perjuicio de lo anterior y a efectos didácticos, a lo largo de este libro me refiero

ocasionalmente a algunas normas de Derecho comparado o conceptos que provienen
del mundo legal. Así, mencionaré la willful blindness (ignorancia deliberada, véase el
apartado II.4.6 Evaluación de los riesgos de compliance, de este libro), el duty of enquiry
enquiry
(deber de mantenerse informado, véanse los apartados II.5.1.1 Órgano de gobierno y
alta dirección y II.5.1.3 Gobernanza de compliance, ambos de este libro) o la businessy
judgement rule
rule (discrecionalidad empresarial, véanse los apartados II.4.6 Evaluación
Evaluación
de los riesgos de
d e compliance y II.9.3 Revisión por la dirección, ambos de este libro), por
ejemplo. Son conceptos habituales en la esfera legal, aunque no están vinculados a
ningún sistema jurídico en concreto.
Los ejemplos
Las diferentes circunstancias que afectan a las organizaciones y la aplicación del prin-
cipio de proporcionalidad (véanse los comentarios del apartado I.6.1.2 Principio de de
proporcionalidad, de este libro), llevan inevitablemente a que existan infinitas maneras
de plasmar los requisitos del estándar ISO 37301:2021 ante casos concretos. Bajo este
entendimiento, carece de sentido proponer “modelos” de sus diferentes requisitos, que
pueden ser excesivos para algunas organizaciones o insuficientes para otras. Proponer
“modelos” evoca el one fit all, que es precisamente lo que tratan de evitar los siste-
mas de gestión ISO. La adaptación de los requisitos del estándar a las circunstancias
concretas de cada organización es clave para su eficacia.
No obstante,
obstante, este libro
libro incorpo
incorpora
ra abundantes
abundantes ejemplos
ejemplos puntuales,
puntuales, reflexione
reflexioness e incluso
incluso
propuestas en búsqueda de la excelencia en compliance. Son formas de completar las
explicaciones aportando una visión práctica, que en modo alguno pretende ser la
única y excluir otras muchas aproximaciones.
Mis deseos respecto a este libro

Confío en que este libro resulte de utilidad a los profesionales comprometidos con el
compliance. He tratado de volcar en él mi experiencia y conocimientos del estándar
ISO 37301:2021, habiendo vivido no solo su desarrollo,
desarrollo, sino también, el de normas
precedentes. Soy consciente de lo difícil que es cubrir exhaustivamente todos sus
aspectos y brindar ejemplos que encajen en la totalidad de casuísticas. Conocedor
de mis limitaciones al respecto, mi pretensión se ha centrado en redactar una obra
rigurosa que ayude a interpretar y aplicar este estándar de compliance global. Si su
contenido ayuda verdaderamente al lector,
lector, además de un objetivo cumplido será una
gran satisfacción personal.
Alain Casanovas




Abreviaturas
Los términos redactados en letra cursiva

curs iva se refieren a conceptos definidos en el estándar
ISO 37301:2021,
de ISO que en buena I-Consolidated
ISO/IEC Directives-Part parte coinciden conSupplement-Procedures
ISO los incluidos en el documento
e specific to
especific
ISO, Annex L Appendix II High llevel
ISO, evel structure, identical core text, common text and core
definitions, donde se estable la estructura de alto nivel para las normas de los sistemas
de gestión (HLS) y de la HLS de ISO/IEC1. Esta obra cita los documentos fruto de
la normalización como “estándares
“ estándares”” o “normas”,
“n ormas”, indistintamente.
Las siguientes abreviaturas corresponden a los significados indicados:
ABMS: Anti-Bribery Management System
AFNOR: Association Française de Normalisation
ANSI: American National Standards Institute
AS: Australian Standard
ASI: Austrian Standards Institute
BA: Bribery Act (UK)
BS: British Standard
BSi: British Standards institution
CMS: Compliance Management System
1 La HLS regula en el documento ISO/IEC Directives-P

Directives-Part
art II-Consolidated
-Consolidated ISO Su
Supplement-Procedu
pplement-Procedures
res
espe cificc to IS
especifi ISO,
O, Annex L Ap
Appendi
pendixx II Hig
Highh leve
levell stru
structure
cture,, ide
identica
nticall core text, common ttext
ext and core
definiti
defi nitions
ons , 10.ª ed., 2019. Es un documento de acceso público a través de internet, incluyendo
sus eventuales revisiones.

21

COSO: Committee of Sponsoring Organizations (of the T

Treadway
readway Commission)
CTN: Comité Técnico de Normalización
DoJ: Department of Justice (US)
FATF: Financial Action
Action TTask
ask FForce
orce
FCPA: Foreign
Foreign Corrupt Practices Act (US)
FDIC: Federal
Federal Deposit Insurance Corporation
FinCEN: Financial Crimes Enforcement
Enforcement Network
GAFI: Group d’Action Financière
GRC: Governance, Risk & Compliance
HLS: High Level Struc
Structure
ture (estructura de alto nivel) de los sistemas de gestión
que propone ISO/IEC.
IEC: International Electrotechnical Commission

ISO: International Organization for Standardization
MSS: Management System Standard
A: National Credit Union Administration
NCUA:
NCU
OCC: Office of the Comptroller of the Currency
OCDE: Organización para la Cooperación y el Desarrollo Económicos
PDCA: Plan, Do, Check, Act
PC: Project Committee
SC: Subcomité
SEC: Securities and Exchange Commission (US)
TC: Technical Committee
UNE: Una Norma Española
US: United States
UK: United Kingdom
WD: Working Draft

22
Parte I
Historia y características
del estándar
ISO 37301:2021


I.1

Antecedentes
El estándar
cional sobreISO 37301:2021
sistemas es compliance
de gestión de el resultado cuyo procesoera
de unobjeto deactualizar
normalización interna-
y sustituir a la
norma ISO 19600:2014. Este texto fue el primeroprimero en el que se utilizó la denominada
“estructura de alto nivel” ( High Level Structure, HLS), sobre la que se hablará en el
capítulo I.2 La HLS de ISO, de este libro, para articular un sistema de gestión dedicado
exclusivamente al compliance. Esta norma, a su vez, estaba basada en los contenidos
del estándar nacional AS 3806:2006 2.
I.1.1. El estándar AS 3806:2006

La norma australiana AS 3806:2006 es el primer estándar nacional que se proyecta en
el ámbito del complia
compliance
nce con un enfoque general. Austra
Australian
lian Standar
Standards
ds, reputada orga-
nización independiente
indepen diente sin ánimo de lucro, reconocida por el Gobiern
Gobierno o de Australia y
miembro de ISO,
ISO, encomendó este proyecto de normalización
normalizació n a su comité especializado
QR-0143. El texto del estándar fue aprobado en el Consejo de dicha organización
celebrado el 23 de enero de 2006, sustituyendo a la antigua norma AS 3806:1998.
2 Cuando se aprecia la utilidad internacional de un estándar publicado por una entidad nacional
de normalización, se puede impulsar un proyecto de normalización internacional (ISO) sobre la
base de sus contenidos.
3 Es significativa la composición del grupo de trabajo que otorgó al estándar sobre programas de
compliance una fuerte legitimidad: Australian Competition aand nd Consume

Consumerr Comisión, Australian Com-
pliance Institute, Australi
Australian
an R ecord Industry Association, Australia
Record Australiann Sec
Securities
urities and Investmen
Investmentsts Com
Commis-
mis-
sion, Austra
Australian
lian Taxation Office, Consumer’s Federation of Australia, Law Council
Council of AAustralia
ustralia, Society of
Consumer Affairs Professionals, The Institute of Internal Auditors-Australia, Universit
Universityy W
Western
estern Sydney.

25

compliance según
Esta norma brindaba principios para desarrollar y mantener programas de compliance

eficaces, tanto para organizaciones públicas como privadas. A tales efectos, articulaba
apu ntalaban un programa de comp
doce principios fundamentales que apuntalaban complian
liance
ce, vinculando
cada uno de ellos con determinadas buenas prácticas. No obstante, toda esta serie
de elementos
(véanse estaba regulada
los comentarios en forma
del capítulo deContexto
II.4 programa como un sistema
deylanoorganización delibro).
, de este gestión
Pese a ser un estándar local, este texto adquirió una notable difusión internacional,
no solo por ser el primero de amplio alcance objetivo y subjetivo4, sino también, por
la claridad y el enfoque práctico de sus contenidos.

El estándar australiano AS 3806:2006 fue la base de trabajo para elaborar el primer
estándar
A internacional
tales efectos,
tales en materia
ISO constituyó de complian
compliance
el Project ce: la que
Committee sería norma
ISO/PC ISO 19600:2014.
271, presidido
presidid o por Mar-
tin Tolar5 y que acogió a expertos de 14 países. El texto australiano AS 3806:2006
fue adaptado a la HLS (véase el capítulo I.2 La HLS de ISO, de este libro), objeto
de debate en diversas sesiones plenarias 6, publicándose finalmente en diciembre de
2014 bajo la forma de un MSS de Tipo B 7 (no certificable).
4 El texto fue diseñado para proyectarse sobre un amplio espectro de organi organizaci
zaciones
ones y materias.
No era un estáestándar
ndar sec
sectorial
torial destina
destinado
do a ccubrir
ubrir ciertos ámbito
ámbitoss regulat
regulatorios,
orios, en part
particular.
icular.
5 Martin Tolar ha ostentado cargos directivos en el GRC Institute (Australia), vinculado con
la creación del AS 3806:2006. También ha presidido la Inte Internat

rnation
ionalal Federa
Federatio
tionn of Com
Compla
place
ce
Associati
Asso ciations
ons (IFCA).
6 Se mantuvieron tres sesiones plenarias. La primera tuvo lugar del 8 al 12 de abril de 2013 en
Sídney, Australia, siendo Austra

Australian
lian Stand
Standards
ards la entidad anfitriona. La segunda se celebró del
14 al 18 de octubre de 2013 en París, Francia, siendo la Association Française de Normalisa-
tion (AFNOR) la entidad anfitriona. La tercera y última sesión plenaria se mantuvo del 7 al
11 de julio de 2014 en Viena, Austria, siendo la organización anfitriona el Austri Austrianan SStanda
tandards
rds
Institute
Insti tute (ASI).
7 El diseño de un MSS de Tipo B o de directrices, no es adecuado para que su aplicación sea
objeto de certificación. En el momento de inici iniciar

ar la normalización del estándar,
estándar, no se consideró
que existía justificación suficiente (demanda social) para generar un estándar certificable (los
estándares ISO no pretenden generar necesidades sino responder a ellas). Por otra parte, tomaba
como punto de partida la norma local AS 3806:2006, que tampoco era certificable.
En relación con las diferencias entre Manag
Management
ement Syst
System
em SStanda rds (MSS) de tipo A y de tipo
tandards
B, véanse las explicaciones en el capítulo I.2 La HLS de ISO , de este libro. En cualquier caso,
el empleo de la HLS era potestativo en MSS de tipo B, a pesar de lo cual se decidió aplicar.

I.2

La HLS de ISO
El Grupo ISO de coordinación técnica sobre sistemas de gestión ideó la llamada

estructura
estru ctura de alto nivel ( High Lev
Levelel Structu
Structure
re, HLS) para que los estándares sobre
sistemas de gestión ( Manage
Management
ment System Standa
Standards
rds, MSS) elaborados a través de
dicha organización tuvieran una estructura común, así como unas definiciones y
unos contenidos básicos equiparables8.
La regulación sobre la HLS distingue entre en MSS de tipo A y B 9, siendo los
primeros aquellos que proporcionan especificaciones y admiten certificar la con-
formidad con sus contenidos, mientras que los segundos brindan
b rindan líneas directrices
y no son certificables10.
8 La HLS regula en el documento ISO/IEC Directives–Part I–Consolidated ISO Supplement -Proce-

dures specific to ISO, Annex L Appendix II High level structure, identical core text, common text and core
definitions, 10.ª ed., 2019. Es un documento de acceso público a través de internet, que incluye sus
revisiones. Los MSS ( Management System Standards) de tipo A (certificables
eventuales revisiones. (certificables),
), como lo
es el estándar ISO 37301:2021, deben seguir la HLS, mientras que es una opción potestativa para
los MSS de tipo B (no certificables), como la anterior norma ISO 19600:2014.
9 ISO/IEC Direc
Directives
tives-Part
-Part I-C
I-Consoli
onsolidate
datedd ISO SSupple
upplement-
ment-Proce
Procedures
dures spec
specific
ific to ISO, Anne
Annexx L Ap-
pendixx II High lev
pendi levelel struc
structure,
ture, iidenti
dentical
cal cor
coree text, com
common
mon text an
andd core def
definiti
initions
ons”, 10.ª ed., 2019.
Esta distinción entre MSS de tipo A y B viene establecida en los apartados L. 2.5 y L 2.6 del
anexo L del documento.
10 Sin perjuicio de esta clasificación general, los MSS de tipo A pueden igualmente incorporar
líneas directrices que ayuden a la interpretación y a la aplicación de sus req requis

uisito
itoss. Normal-
mente, tal circunstancia se aprecia en el propio título del estándar, como sucede en la Norma
ISO 37001:2017 titulada Sistemas de gestión antisoborno. Requi Requisito
sitoss con orie
orientac ión para su uso.
ntación
Los contenidos no normativos suelen introducirse a través de notas aclaratorias a los diferentes
apartados o de anexos finales (normalmente identificados como “no normativos”).

27

compliance según
Emplear la HLS brinda uniformidad a los MSS, exigiéndose su empleo en los de

tipo A y, cuando sea posible, también en los de tipo B. La HLS puede enrique-
cerse con contenidos adaptados a cada siste
sistema
ma de ges
gestión
tión, pero no admite alterar su
contenido básico.
Cuando es necesario desviarse de la HLS por causas excepcionales, se precisa infor-
mar de ello a ISO, razonando los motivos. Desde una perspectiva práctica, cuando
los proc
proceso
esoss de normalización internacional adoptan como punto de partida, una
norma nacional, la adaptan primero a la HLS y señalan los contenidos inalterables
por tal motivo11. Como se ha anticipado, esto es lo que sucedió con el estándar ISO
19600:2014 (sobre Compliance Management Systems, CMS), cuyo primer borrador
de trabajo ( Working Draft , WD) surgió de acomodar el contenido del estándar
nacional AS 3806:2006 a la HLS. Lo mismo ocurrió después con el estándar ISO
37001:2016 (sobre anti-bribery management systems, ABMS), que partió de adaptar
la norma nacional BS 10500:2011 – specification for an anti-bribery management system
(ABMS)– a la HLS. Por ello, estos textos internacionales sobre compliance, así como
ahora el estándar
determina la HLS ISO 37301:2021,
y recurren dividen
a un núcleo su de
común contenido en los
definiciones diez capítulos
y regulación. que
A pesar
de ello, cada estándar dispone del contenido adaptado a su naturaleza y finalidad,
lo que hace muy necesario prestar atención a sus definiciones y requisitos singulares.
En cualquier caso, el empleo de la HLS permite armonizar e integrar siste sistemas
mas de
gestión gracias a su estructura y a los contenidos comunes. De hecho, ISO publica
una guía que ayuda a realizar estas integraciones 12. Es algo especialmente útil en el
ámbito del compliance, donde un sistema de gestión general puede, a su vez, integrar
otros sistemas de gestión específicos que se proyectan sobre ciertos riesgos u obliga
obligaciones
ciones
de compliance en particular. Esto puede suceder con mucha facilidad con el estándar
ISO 37301:2021, llamado a aglutinar mecanismos que garanticen el cumplimiento
de las principales
integración obligaciones de compliance
facilita: que afectan a la organización. Una correcta
• Aglutinar los elementos comunes todos los sistem
comunes de todos sistemas
as de gestión en el modelo
del alcance general, evitando así el tratamiento redundante de las cuestiones
comunes. De este modo, los elementos organizativos y documentales de
cada grupo de riesg
riesgos
os u obliga
obligacione
cioness de
de compliance
complia nce quedan reducidos a sus sin-
gularidades, ayudando a prevenir modelos de comp complian
liance
ce innecesariamente
voluminosos.
volumi nosos.
11 En los Proj

Project
ect Commi
Committees
ttees (PC) de ISO se señalaron los contenidos inalterables de los docu-
mentos de trabajo en un color distinto, conocidos como bluep
blueprints
rints..
12 ISO, ISO Hand
Handbook
book–The
–The inte
integrat
grated
ed use of Mana
Manageme
gement
nt Sys
System
tem Stan
Standard
dardss (IUM
(IUMSS)
SS) , 2nd ed.,
2018-11.

I.2 La HLS
HLS de ISO 29
EJEMPLO. Modo de integrar políticas de compliance.

De este modo, la política de compliance
compliance general
general o “transversal” recogerá aspectos
comunes que no se replicarán entonces en las políticas
políticas exigidas
exigidas en los sistemas
los sistemas
de gestión que
gestión que aplican sobre diferentes riesgos de de compliance
compliance,, que se reducen
a su esencia por motivos técnicos. Esta mecánica de “traspasos” a la estructura
general o “transversal” de compliance
compliance aplicará
aplicará igualmente con el resto de requi-
sitos,, de modo que los sistemas
sitos los sistemas de gestión que
gestión que eventualmente operen sobre los
distintos grupos de riesgos
riesgos u u obligaciones de compliance queden
compliance queden reducidos a su
mínimo exponente por motivos técnicos El resto de contenidos queda en la parte
general o común para todos ellos.
• Obtener una visión conjunta de las cuestiones de comp complianc

liancee referidas a las
principales obligaciones de naturaleza que afectan a la organización y reportarla
de forma integrada. Esto brinda una imagen completa que ayuda a priorizar
correctamente las acciones y decisiones, mejorando notablemente la calidad en
la gestión.
EJEMPLO. Reportes consolidados de compliance vs.

vs. múltiples líneas de
reporte.
Los estándares sobre sistemas
sobre sistemas de gestión
gestión de
de compliance
compliance en
en materias concretas
precisan reportar sus actividades al órgano de gobierno y
gobierno y a la alta dirección.
dirección.
A la larga, esto supone la multi
multiplicaci
plicación
ón de infor
informes
mes de compliance
compliance,, con los
inconvenientes que entraña. Un informe consolidado de compliance
compliance evita
evita esta
dispersión y brinda una visión general con mayor valor añadido en el proceso
proceso
de toma de decisiones.
• Optimizar las políticas, los procedimientos y los controles de compliance cuando

pueden cubrir las necesidades derivadas de oblig
obligacione
acioness de compliance
compliance de diferentes
ámbitos. Evita redundancias innecesarias de control, inconsistencias y también,
lagunas.
EJEMPLO. Políticas y proc

procedim
edimient
ientos
os innecesariamente redundantes o
inconsistentes.
La ausencia de una visión o coordinación transversal de las actividades desarrolla-
das para promover el cumplimiento de las diferentes obligaciones de compliance
compliance
favorece la producción de políticas
de políticas,, procedimientos
procedimientos y
y controles redundantes,
eventualmente inconsistentes, así como posibles lagunas por una deficiente
asignación de roles y responsabilidades.


compliance según
Los componentes que aparecen reflejados en la HLS de ISO se pueden interpretar

y aplicar en clave de ciclo Deming13, que pretende la mejora continua en la gestión
mediante cuatro etapas: planificar, hacer, verificar y actuar 14.
13 William Edwards Deming (Sioux City Iowa, 1900- 1900-W

Washington D. C. 1993, EE. UU.). Esta-
dístico y profesor universitario, presentó en la década de 1950 el denominado PDCA ( Plan, Do,
Check, Act ) para la mejora continua
c ontinua en todo tipo de situaciones, creado y publicado en 1939 por
W.. A, Shewha
W Shewhart.
rt. De ahí que sea referido indistintame
indistintamente
nte como cciclo
iclo Demin
Demingg o cicl
cicloo Shewhart.
14 En la primera etapa (planificar) se determinan qué elementos y actividades serán precisos para
alcanzar los resultados pretendidos.

pretendidos. A continuación, se llevan a la práctica dichas actividades (ha-
cer) para verificar después si se están cumpliendo las expectativas esperadas (verificar). A partir
del análisis de la información obtenida se pueden idear las actuaciones necesarias para corregir
las desviaciones indeseadas (actuar),
(actuar), lo que nuevamente conducirá a una etapa para planificar los
elementos y actividades que se precisan para llevarlas a cabo (planificar)
(planificar)..

I.3

El proceso de
normalización
del estándar
ISO 37301:2021
En el contexto de la reunión 67 del Technical Management Board de ISO, celebrado

en Beijing (China) el 10 de septiembre de 2016, se adoptó la decisión de establecer
el nuevo comité técnico ( Technical Committee, TC) ISO/TC 309 sobre el gobierno
de las organizaciones15. Acabaría comprendiendo cuatro grupos de trabajo (Working
Group, WG), proyectados sobre diferentes materias técnicas:
• ISO/TC 309 WG 1 Guía para el gobierno de las organizaciones, orientado a definir
el primer “sistema de gobierno” ISO 37000, como fundamento de toda la serie
de “sistemas de gestión” bajo su cobertura16.
• ISO/TC 309 WG 2 sobre sistemas de gestión antisoborno,
antisoborno, como continuación
del antiguo ISO/PC 278.
• ISO/TC 309 WG 3 sobre sistemas de gestión de canales para
para el planteamiento
de inquietudes, que se orientaría a producir el estándar ISO 37002 de directrices
sobre dicha materia.
15 Desempeñando la secretaría la institución británica BSI ( British Standards

S tandards Ins
Institution
titution), que ya
lo había hecho en el antiguo e ISO/PC 278 sobre sistemas de gestión antisoborno. No es así en
el anterior ISO/PC 271 sobre sistemas de gestión de compliance cuyo desempeño de la secretaría
recayó en la entidad australiana SA (Standards Australia).
16 Un sistema de gestión difícilmente operará correctamente en organizaciones desestructuradas
desde una perspectiva de gobierno. A partir de esta idea, se constató la importancia de que todos
los sistemas de gestión en compliance orbitaran alrededor de la familia de normas 37000, encabezada
por el primer “sistema de gobierno”
go bierno” de ISO. El sistema establece parámetros para el buen gobi gobierno
erno
de las organizacio
organizaciones,
nes, bajo cuya correcta interpre
interpretación
tación y aplicación cabe desarrollar actividades de
gestión a través de los correspondie
correspondientes
ntes “sistemas de gestión”. De ahí emerge la lógica del estándar
de gobierno ISO 37000 y de los estándares de gestión bajo su órbita: ISO 37001, ISO 37002 e
ISO 37301.

31

compliance según
• ISO/TC 309 WG 4 sobre sistemas de gestión de compliance, como seguimiento

seguimiento
del antiguo ISO/PC 271, cuya aprobación se comunicó por la secretaría del
ISO/TC 309 el 20 de septiembre de 201817 y que produciría el estándar ISO
37301:2021.
El proceso de revisión y transformación de la norma ISO 19600:2014 en el nuevo
estándar ISO 37301:2021 atravesó por seis reuniones plenarias18, de las cuales la
última tuvo que celebrarse telemáticamente debido a las restricciones de movilidad
derivadas del covid-19.
A lo largo este proc
largo de este proceso
eso de maduración, no solo se revisaron los contenidos del anterior
estándar ISO 19600:2014 a la luz de las buenas prácticas surgidas desde su publicación19,
sino que también se reestructuraron sus contenidos para hacerlos
hacerlos adecuados para un MSS
de tipo A (certificable). Esto significó trasladar una buena parte de su contenido inicial
al nuevo anexo A (informativo) Guía para el uso de este documento, dejando en el cuerpo
de la norma los requisit
requisitos
os esenciales. Recordemos
Recordemos que el estándar ISO 19600:2014,
196 00:2014, un
MSS de tipo B (no certifi
certificabl
cable)
e) no disponía
disponía de un anexo
anexo semejan
semejantete y todo su contenid
contenido
o
(de recomendaciones) se encuentra recogido en su articulado.
Como estándar certificable bajo la órbita de la familia de normas 37000, se le otorgó
la numeración 3730120 y finalmente ha sido publicado el 13 de abril de 2021.
Debido al interés que despertó esta norma en países de habla hispana, el 23 de no-
viembree de 2020 se
viembr se constituyó ISO/TC 309/STTF (Spanish Translation Task Force),
constituyó el ISO/TC
presidido por la Asociación Española de Normalización, UNE, y cuya secretaría
ostenta el Servicio Ecuatoriano de Normalización (INEN). Gracias a esta iniciativa,
se dispone de una versión oficial ISO en español, que será adoptada como norma
UNE-ISO 37301:2021, con contenido idéntico.
17 Se designó coordinador de dicho grupo a Martin Tolar, que fue el presidente del antiguo ISO/
PC 271 que proyectó su actividad en la elaboración del estándar ISO 19600:2014, precursor del
ISO 37301:2021. Es interesante señalar que para la coordinación adicional se designó al Dr. Yiyo
Wang
W ang de China, lo que d demuestra
emuestra el inte
interés
rés en dicho país por el estándar
estándar.
18 La primera tuvo en lugar en Londres, Reino Unido, del 9 al 11 de noviembre de 2016; la segunda
en Quebec, Canadá, del 22 al 26 de mayo de 2017; la tercera en Shenzhen, China, del 12 al 17

de noviembre de 2017, la cuarta en Sydney, Australia, del 2 al 9 de noviembre de 2018 y la quinta
en Nueva Delhi, India, del 3 al 9 de noviembre de 2019. La sexta y última tenía que celebrarse en
Viena, Austria, en junio de 2020, pero se suspendió por motivo de las restricciones a la movilidad
derivadas del covid-19.
19 Algunas de ellas reflejadas en el estándar ISO 37001:2016, que igualmente se recogen ahora en
el estándar ISO 37301:2021.

20 En línea con las prácticas de ISO, debería procurarse que los MSS de tipo A (certificables) ter-
minasen en 01. Al ya existir el estándar 37001:2016 (sobre sistema de gestión antisoborno), se

escogió el número 37301.

I.4

El estándar
ISO 37301:2021 como
sistema de gestión
Al hablar de modelos de compliance es común referirse a "programas" como si sólo

existiese esta forma de concebirlos. Sin embargo, los estándares ISO determinan
sistemas de gestión, cuyos componentes y sus interacciones redundan en una mayor
eficacia de los modelos respecto de "programas" clásicos.
I.4.1. De los programas de compliance a los

sistemas de gestión
El transcurso de la última década muestra la evolución de los modelos ded e compliance:
primero, en forma de programas y recientemente, articulados como siste si stemas
mas de
gestión
gesti ón. Así, el primer estándar general sobre complia
compliance
nce, la norma australiana AS
3806:2006, versaba sobre “programas” de compl complianc
iancee; más tarde, la recomenda-
ción de la OCDE para fortalecer la lucha contra el cohecho 21 también empleó el
concepto de “programas”; como, del mismo modo, vienen haciendo las adminis-
traciones norteamericanas: tanto en las líneas directrices publicadas anualmente por
21El texto de la recomendación de la OCDE para fortalecer la lucha contra el cohecho se localiza
en la página web www
web www.oecd.org
.oecd.org.. El anexo II a dicha recomendación de 2009 hace referencia a los
“programass de ética y cumplimiento”.
“programa

33

compliance según
la US Sentencing Commission22, como en los documentos producidos por el US

Department of Justice (DoJ)23.
Un programa de compliance aglutina una serie de componentes considerados
considerados idóneos
para alcanzar determinada finalidad. Un “sistema de gestión”, además de fijar estos
elementos clave, pone énfasis en la interrelación que debe existir entre ellos y en la
lógica que inviste al conjunto. En bastantes ocasiones, el sentido de estas relaciones
radica principalmente en un enfoque basado en el riesgo (véase el apartado I.6.2.2 I.6.2.2
Enfoque basado en el riesgo, de este libro), que condiciona la orientación de diferentes
componentes: aunque las acciones formativas están ampliamente referenciadas en los
textos sobre complianc
compliancee, cualquier actividad de formación no es objetivamente idónea,
debiendo cubrir las materias que exponen a la organización e impartirse a las personas
que desempeñan un rol relevante en los procesos expuestos a riesgo. Este tipo de consi-
deraciones, que se entenderían como recomendables en el contexto de un programa
de compliance, se multiplican y son indispensables
ind ispensables para un sistema de gestión. Tanto el
diseño como la evaluación de un modelo de compliance en clave sistémica precisan
atender a estas interacciones y,
y, por eso, no pueden realizarse atendiendo solamente a
la concurrencia de elementos aisladamente considerados.
I.4.2. La normalizació
normalización
n in
internaciona
ternacionall en materia
de compliance tiende a los sistemas de
gestión
La actividad de normalización es un fenómeno que da respuesta a la inquietud social
por homogeneizar el tratamiento de determinadas materias técnicas. Con esta finalidad,
final idad,
los Estados pueden atribuir capacidades de producción normativa a entidades de sus
respectivos
respect ivos territorios: es el caso de la Asociación Española de Normalización, UNE,
como también lo es el de la Association Française de Normalisation (AFNOR) en
Francia,
Fra ncia, el del Deutsches Institut für Normung en Alemania, el del Ente Nazionale
22 Así, por ejemplo, US Sentencing Commission, Guidelines Manual, Chapter Eight-Sentencing of

Organizations, noviembre de 2018. El apartado 2 de dicho capítulo hace referencia a los “ effective
compliance and ethics programs”.
23 El texto de la Resource Guide
Guide to the US For
Foreign
eign Corr
Corrupt
upt Practices Act publicado
publicado conjuntamente por
el US Department of Justice (DoJ) y la Securities and Exchange Commission (SEC) en el año 2012,
se refiere a los “ corporate compliance
complia nce programs”. También se refiere a estos, el documento titulado
Evaluation of Corpo
Corporate
rate Com
Compliance
pliance Prog
Programs,
rams, G
Guidance
uidance Document , emitido por su Criminal Division
Document
(actualización del mes de junio de 2020, que estuvo precedido de versiones previas publicadas en
2019 y 2017). Estos documentos se localizan en la página web www.justice.gov.
web www.justice.gov.

I.4 El estándar ISO 37301:2021

37301:2021 como
como sistema de gestión 35
Italiano di Unificazione UNI en Italia, el del American National Standards Institute

ANSI en los Estados Unidos y un largo etcétera. Las entidades de normalización
normalizaci ón
se agrupan en la International Organization for Standardization (ISO), que es una
organización no gubernamental independiente de la que forman parte actualmente
164 miembros24.
Cuando en el año 2013 ISO decidió estandarizar sobre compliance, adoptó como
documento de partida la norma australiana AS 3806:2006 Compliance Programs,
(sobre “programas” de compliance), pero adaptó sus contenidos a la denominada
“estructura de alto nivel” ( High Level Structure, HLS) que ISO emplea en sus sis-
temas de gestión. Sobre esta base, se refinó el documento hasta publicar la norma
ISO 19600:2014 Compliance management systems-Guidelines, primer estándar inter-
nacional sobre sistemas de gestión de compliance. El caso de la norma ISO 37001:2016
sobre sistemas de gestión antisoborno fue distinto, dado que adoptó como partida el
moderno estándar británico BS 10500:2011, que también articulaba un sistema de de
gestión, aunque este no estaba basado en la HLS. Desde entonces, otros estándares
ISO siguen adoptando la forma de sistemas de gestión, como la norma ISO 37002
sobre sistemas de gestión de canales para el planteamiento de inquietudes (MSS de
tipo B, no certificable) o el estándar ISO 37301:2021 que ahora nos ocupa (MSS
de tipo A, certificable).

El estándar ISO 37301:2021 articula un sistema de gestión y así lo subraya en múlti-
ples ocasiones:
• De manera general, cuando, ejemplo, el apartado 4.4 Sistema de gestión del
cuando, por ejemplo,
compliance no solo insta a la organización a impulsarlo, sino que llama a atender
las interacciones precisas. Insta, como condicionante de partida, a considerar
en su diseño lo indicado en el apartado 4.1 Comprensión de la organización y
de su contexto, no solamente para fundamentar un sistema de gestión
ge stión basado en
interacciones, sino para que, además, se adecúe a las circunstancias de la orga-
nización. Puesto que es clave entender bien tales circunstancias para establecer
un sistema de gestión y sus componentes, el citado contenido del apartado 4.1
Comprensión de la organización y y de su contexto aparece referenciado en diversos
apartados del estándar (los apartados 4.3 Determinación del alcance del sistema
24 Actualmente existen 194 países soberanos reconocidos por la ONU. Por consiguiente, acogiendo
a 164 países, ISO es una plataforma internacional ampliamente reconocida.


compliance según
de gestión del compliance, 4.4 Sistema de gestión del compliance y 6.1 Acciones para
abordar los riesgos y oportunidades de la norma).
• De forma específica, algún requisito se indica tener en cuenta otro.
específica, cuando en algún
Esto sucede con el apartado 4.6 Evaluación de los rie riesgos
sgos de compliance
compliance, que se
cita explícitamente en otros lugares de la norma (los apartados 5.3.2 Función Función
de compliance, 6.1 Acciones para abordar los riesgos y oportunidades y 9.1.2 Fuentes
Fuentes
de opinión sobre el ddesempeño
esempeño del complianc
compliancee), como también sucede con otros
muchos apartados del estándar25.
• Finalmente, también cabe considerar multitud de referencias implícitas que,
sin referirse explícitamente a otros apartados, emplean su vocabulario o citan
sus materias; por citar un ejemplo, cuando en el apartado 7.2.3 Formación se
person al y los riesgos de compliance
apunta que debe ser adecuada a los roles del personal
a los que están expuestos, esto lleva a tener en consideración, como mínimo, la
identificación de roles de riesgo de compliance del personal que se establece en
el apartado 7.2.2 Proceso de empleo, así como el resultado de aplicar el apartado
4.6 Evalu
Evaluación
ación de los riesgos de compl
compliance
iance, aunque ninguno de estos dos apartados
estén expresamente citados.
El contenido del estándar y la interacción de sus componentes puede interpretarse
en clave de ciclo Deming, que, como se explicó anteriormente en el capítulo I.2 La La
HLS de ISO, de este libro, al tratar la HLS, pretende la mejora continua a través de
cuatro etapas: planificar, hacer, verificar y actuar. De hecho, la Introducción de la nor-
ma ISO 37301:2021 incorpora un novedoso esquema en este sentido, distinto del
que plasmó la norma ISO 19600:2014. Encontramos reflejados los componentes
que se asocian con cada una estas etapas, ilustrando el modo en que opera el sistema
de gestión como algo “vivo”.
25 A los lectores no acostumbrados a los sistemas de gestión, las continuas referencias cruzadas
(que interrelacionan componentes) dan una sensación inicial de falta de sistematicidad en la
redacción de los estándares. Cuando se comprende la operativa sistémica de sus componentes,
se entiende también la necesidad de establecer estas correlaciones.

I.5

Singularidades
del estándar
ISO 37301:2021
No cabe duda que el mejor modo de procurar

procura r el
e l cumplimiento
cumpli miento de las normas es
que sus destinatarios quieran también hacerlo. A tales efectos, generar o mantener
una adecuada cultura era un reto ya presente en la norma ISO
IS O 19600:2014 y que el
estándar ISO 37301:2021 potencia.
I.5.1. El estándar ISO 37301:2021 y la cultura de

compliance
Existen dos grandes aproximaciones al compliance:
• La que lo considera como una adaptación de las metodologías de control interno.

• La que lo interpreta como una palanca de mejora de la inte
integridad
gridad de las personas
y de las organizaciones.
Simplificando a efectos didácticos, podríamos decir que el primer enfoque parte
de considerar que las personas, dejadas a su libre albedrío, tienden a satisfacer sus
intereses con independencia de las normas 26; se debe, entonces, poner el foco en
26 Desde una perspectiva clásica, podría decirse que este enfoque obedece a lo que ya señaló el
biólogo Thomas H. Huxley en el siglo XIX, “ la doctrina
doctri na de la dep
depravación
ravación innata del hombre y la
perdición de la mayor parte del género humano…, me parece muchísimo más ccerca erca de la verdad que las
ilusiones ‘liberales’ populares de que todos los niños nacen buenos ”. Al hilo de esta visión, una sociedad
ética es la que asegura que todos estemos bajo observación, siendo la moralidad un dique artificial
que ayuda a contener nuestra perniciosa naturaleza innata.

37

compliance según
controlarlas. El segundo entiende que las personas procuran, de forma natural, de-
sarrollar conductas éticas e incluso, altruistas27 , que interesa cultivar,
cultivar, ejemplarizar y
promover mediante actividades concretas, poniendo, por consiguiente, el foco sobre
las acciones que favorezcan esta faceta. Cuantas más personas íntegras concurran en
las organizaciones, menor necesidad habrá de controlarlas.
Aunque la mayoría de normas modernas sobre complia compliance
nce siguen aproximaciones
híbridas que conjugan elementos de ambos entendimientos, es cierto que tienden
a acercarse más a alguno de ellos. En el caso del estándar ISO 19600:2014 y ahora
ISO 37301:2021, es patente su apuesta por el enfoque de integridad, enfatizando
los aspectos culturales. La Introducción del estándar ISO 37301:2021 subraya que el
compliance no solo consiste en cumplir con las normas, sino hacerlo de manera que
forme parte de la cultura de la organización . Obviamente, una cultura organizativa
positiva no se consigue mediante la imposición y el control sino:
• Atrayendo y manteniendo personas alineadas con la misma.
• Cultivando su integridad.
• Reaccionando frente a quienes la ponen en riesgo. Dentro de esta dinámica, los
controles ayudan a identificar tanto situaciones de riesgo como las personas que
las protagonizan, pero no generan una cultura
cu ltura organizativa por sí solos.
El estándar ISO 37301:2021 otorga una importancia capital a la cultura de com- com-
pliance , hasta el punto de ser el primer sistema de gestión que incorpora la definición
28
de “ conducta ”, como comportamientos o prácticas que traslucen los valores de las
27 Desde una perspectiva clásica, este enfoque enlazaría con los pensamientos que el economista
Adam Smith divulgó en el siglo XVIII a tr través
avés de su obra La teoría (1759).
sentiteo
Ya en el siglo XX, el filósofo John Rawls señaló que “los sentimientosría ddee lo
mientos los
s sent
sentimientos
morales imientos morales
sostienen la adhesi
adhesión
ón
a las normas”, subrayando la importancia de las “personas buenas” equiparándolas
equiparándolas a “personas de
valor moral” (Teoría de la Justici
Justiciaa, sección 66 “La definición del bien aplicada a las personas”, 1971,
edición del Fondo de Cultura Económica, 12.ª ed., 2018).
28 El apartado 4.1 Comprensión de la organización y de su contexto , dentro del capítulo 4 Contexto de
la organización
organización, señala la importancia de considerar la actual cultura de compliance de la organización;
respecto al capítulo 5 Liderazgo, el apartado 5.1.1 Órgano de gobierno y alta dirección apunta que se
deben establecer y actualizar los valores de la organización, el apartado 5.1.2 Cultura de compliance
compliance,
desarrolla este concepto. Son referencias explícitas a esta materia, junto con otras muchas implícitas
que figuran en otros capítulos y apartados del estándar, que se refieren a las obligaciones de compliance
compliance
(que, englobando las asumidas voluntariamente, suelen recoger los valores de la organización), o la
evaluación de riesgos de compliance
compliance (que incluye aquellos derivados de las obligaciones de compliance,
incluidas las voluntarias). En particular, el capítulo 7 Apoyo hace referencia a actividades estrecha-
mente relacionadas con el establecimiento o mantenimiento de una cultura de compliance, como
son las actividades de formación (en el apartado 7.2.3 Form Formación
ación) y concienciación (en el apartado
diferenciado 7.3 Toma de conciencia).

I.5 Singularidades del estándar ISO 37301:2021 39
organizaciones29 (véase la figura 1).

1). De hecho, el órgano de gobierno y la alta dirección
deben establecer y mantener actualizados estos valores30 en un ejercicio de liderazgo
que es clave para la consolidación cultural31, como subraya desde el primer momento
la Introducción del estándar.
V
Valores
alores
r Cultura
r Conductas
Figura 1. El establecimiento y difusión de un conjunto de valores

ayuda a generar una cultura corporativa común sobre los mismos,
de la que deben derivarse conductas alineadas con ellos.
A los efectos
efectos de lo que se está explicando, apartado 4.1 Comprensión de
explicando, nótese que el apartado
la organización y de su contexto del estándar ISO 37301:2021 incorpora también una
novedad relevante respecto a la norma precedente ISO 19600:2014: la cultura de
compliance
sistema de gestiónpropia organización
de la acorde con ella. De es
esteuno de los
modo, lasaspectos a valorar
necesidades para
de cada prever un
organización
dependerán, entre otros factores, de su estado cultural de partida 32.
Otro matiz cultural importante lo hallamos en el apartado 5.3.4 Personal
Personal, cuando exige
de esta categoría tan amplia que no solo se adhiera a las obligaciones de compliance
compliance de la
organización (como ya decía el estándar ISO 19600:2014),
19600:2 014), sino también a sus políti-
cas, procesos y procedimientos
procedimientos33. No es una novedad intrascendente, pues este conjunto
29 Los aspectos conductuales son tan importantes a la hora de consolidar la cultura de co

compliance
mpliance que
se barajó seriamente la posibilidad de que el estándar ISO 37301:2021 se refiriera a “sistemas de
gestión
de gestiónde de
dela complian
conducta”
ce” ((Compliance
compliance Conduct Management System),)abandonando
Systems
Management la nomenclatura
pero manteniendo su acrónimo:deCMS.
“ sistema
La
idea se desestimó finalmente, más por la confusión que podía ocasionar ante una idea consolidada
en el mercado ( sistema de gestión de compliance), que por la falta de sentido lógico.
activ idades que deben desarrollar ( requisito), según indica el apartado 5.1.1. Órgano
30 Es una de las actividades
de gobierno y alta dirección, dentro del capítulo 5 Liderazgo del estándar ISO 37301:2021. Véase
también el 2.5.1.1 Órgano de gobierno y alta dirección que incorpora la norma.
31 El apartado 5.1.2 Cultura de compliance
compliance del estándar ISO 37301:2021, indica que el órgano de
gobierno debe demostrar activamente una conducta alineada con el conjunto de valores que se exige
la organización.
32 Organizaciones más evolucionadas desde una perspectiva cultural
c ultural pueden precisar menores esfuerzos
que las que dispongan de margen de mejora. Estas últimas tienen más por construir.
33 Desde una perspectiva técnica, esto supone que el personal no solo se compromete a evitar no
cumplimientos de complian ce (referidos a las obligaciones de compliance
compliance ) sino también, no conformidades
conformidades
(respecto a procesos y procedimientos). Sobre este particular, véanse también los comentarios expan-
didos en el apartado I.5.2 Las dos fuentes de obligaciones de complianc e
complianc e, de este libro.


compliance según
de elementos traslada los valores de la organización34 y, por tanto, los parámetros de

conducta concretos que se esperan y los que no se toleran35.
Sin perjuicio de todo lo anterior,
anterior, el estándar ISO 37301:2021 no descuida la faceta
del control, que se localiza principalmente en su capítulo 8 Operación.
I.5.2. Las dos fuentes de obligaciones de

compliance
Siguiendo la línea de su norma antecesora AS 3006:2006 36 , el estándar ISO
19600:2014 contemplaba expresamente dos tipos de obli obligac
gacion
iones
es de complia
com pliance
nce :
aquellas que las organ
organizaci
izaciones
ones debían cumplir (“ requi
requirement
rementss”), y las que elegían
voluntariamen
volun te cumplir (“ commit
tariamente committments
tments”), incluyendo ambos vocablos en su ca-
dichos Términos ypues

pítulo 3conceptos, definiciones.
ambos Esto otorgaba
eran oblig
obligacion esautomáticamente
aciones de compliance el mismo
compli ance cuyo valor a
cumplimiento
debían procurar las organi
organizacio
zaciones
nes. Desde esta perspectiva, la funció
funciónn de compliance
compli ance
supervisa la aplicación de ambas categorías, sin motivos para considerar que los
compromisos libremente
libremente asumidos tienen un rango inferior a las obligaciones
o bligaciones que
34 Muchos de los compromisos asumidos voluntariamente se establecen en elementos normativos

internos, como códigos éticos o de conducta o en las políti
políticas
cas que desarrollan sus contenidos.
35 Los textos sobre complia
compliance
nce, especialmente en el ámbito de la prevención penal o del soborno,
hacen especial hincapié en la necesidad de fijar parámetros de conducta, normalmente mediante
políticas
polític as, que luego se concretarán en procedi
procedimientos
mientos . La Guía de Buenas Prácticas para los Controles
Internos,, la De
Internos Deontologí
ontologíaa y la Conformi
Conformidaddad de la OCDE en materia de prevención del soborno (es
el anexo II de la Recomendación OCDE para fortalecer la lucha contra el cohecho, adoptada el
26 de noviembre de 2009), se refiere explícitamente la necesidadnec esidad de fijar estándares de conducta,
como elemento clave para pa ra luchar contra esta lac
lacra.
ra. T
También
ambién siguen una aproximac
aproximación
ión análoga las
US Sentencing Commission Guidelines que se vienen publicando anualmente, la Resourc Resourcee Guide to
the US Foreign Corrupt Practices Act del del año 2012 (referencias al Código de Conducta y políti políticas
cas
de compliance que se citan en el apartado Corporate Compliance Program en la p. 57), o la Guidance
para la aplicación de la Bribery Act británica
británica de publicada en el año 2011 (dentro de su principio
número 6), por citar algunos ejemplos. Obviamente, tanto la promoción como la represión de
determinadas conductas en las organiz organizacion
aciones
es precisa fijarlas y difundirlas previamente a través
de polític
políticas
as internas.
36 Ya el estándar AS 3806, precursor de la Norma ISO 19600:2014, dedicó su apartado 3.5.1
Identification
Identificati on of compliance obligations a listar, a título enunciativo, una serie de obligaciones, po-
tencialmente subsumibles en un programa de compliance , incluyendo las obligaciones impuestas
(por la Ley, por ejemplo) y otras asumidas voluntariamente (los principios voluntarios o códigos
de prácticas, por ejemplo).

vienen impuestas
impuesta s porpo r la normativa públi cos37 . En cualquier caso, la
normativ a o los poderes públicos
funció complia nce no fija unas ni otras, sino que se limita a procurar su aplica-
ción, sin distinciones38.
Esta es la misma aproximación que sigue el estándar ISO 37301:2021, pero a través
de una redacción simplificada: en lugar de definir por separado las dos fuentes de
obligaciones
obligaci ones de compliance
complianc e, integra los conceptos en la propia definición 3.25 Obli-
gaciones
gacio nes de complia
compliance
nce. Por lo demás, el apartado A.4.5 Obligaciones de compliance
del anexo A (informativo) Guía para el uso de este documento, incluye ejemplos que
se corresponden con ambas categorías conceptuales. Por todo ello, lo indicado en
el apartado 4.5 Obligaciones de compliance debe interpretarse en este sentido (véase
la figura 2).
2).
u Las que se deben cumplir

Obligaciones de
compliance
Las que se eligen
u
voluntariamente cumplir

Figura 2. Las obligaciones de compliance no solo provienen de la Ley o
las autoridades, sino que también son los compromisos que se impone la
organización voluntariamente.
Finalmente, es interesante señalar que el apartado 5.3.4 Personal exige que este se

adhiera no solo a las obligaciones de ccompliance
ompliance (como ya apuntaba el estándar ISO
19600:2014), sino también a las políticas, procesos y procedimientos de la organización,
que son emplazamientos típicos de algunos compromisos que trascienden de lo ya
estipulado en las normas imperativas.
37 Elestándar ISO 19600:2014 introduce así la acepción moderna del compli

compliance
ance, que deja de
circunscribirse
circunscribirse a:
(i) La regula
regulación
ción específica de determin
determinado
ado mer
mercado
cado o sector de actividad.
(ii) Las normas que vienen impu impuestas
estas por la Ley o los poderes públicos.
públicos.
38 Parala función de compliance
compliance, ambas son obligaciones que le vienen dadas: unas por parte de los
poderes públicos y las otras, por voluntad de la organización.


compliance según
I.5.3. Las no conformidades y los no cumplimientos

de compliance
Tanto
Tanto la HLS (véanse
(véan se los comentarios capítu lo I.2 La HLS de ISO, de este
comen tarios en el capítulo
libro) como los estándares tradicionales ISO en materia de compliance adoptan los
conceptos de “ conformidad” y “ no conformidad
conformid ad”, entendidos como el cumplimiento
o no cumplimiento de un requisito, respectivamente. Sin embargo, el estándar ISO
19600:2014, acogiendo también estas definiciones sin variar su contenido, intro-
dujo las adicionales de “ cumplimiento” y “ no cumplimiento de compliance”, vinculadas
con observar o no las obligaciones de compliance
compliance. El estándar ISO 37301:2021 hace
lo propio, desmarcándose de la línea clásica que siguió, por ejemplo, la norma ISO
37001:2016. Esta distinción entre conformidades/cumplimientos y no conformidades/no
cumplimientos de complia
compliance
nce desconcierta a quienes están habituados a la estructura
de la HLS y a los sistemas de gestión que no se apartan de ella.
• Del concepto de requis
requisito
ito, como “necesidad o expectativa establecida, gene-
ralmente implícita u obligatoria”, surgen las conformidades y no conformidades.
T
Toda
oda esta terminología es propia de la HLS y también la incorpora el estándar
ISO 37301:2021.
• Sin embargo,
embargo, el estándar introdujo el concepto de obligac
estándar ISO 19600:2014 introdujo obligación
ión de
compliance
complian ce, que no consta en la HLS y que integra
in tegra los “requisitos de complian
compliance
ce”
y los “compromisos de compl
compliance
iance”, como términos igualmente definidos. Como
anterior, el estándar ISO 37301:2021 sigue de facto
he explicado en el apartado anterior,
esta misma línea.
De esta combinación se aprecia que una conformi
conformidad
dad no equivale al cumplimient
cumplimientoo de
una obliga
obligación
ción de compl
compliance
iance , ni una no conformidad a su no cumplimiento
cumplimi ento. Aunque la
interpretación de estos conceptos debe realizarse considerando las circunstancias
de cada caso, se entiende que las conf conformid
ormidades
ades y no conformida
confo rmidades
des guardan relación
con los requ
requisi
isitos
tos fijados por el sis
sistema
tema ddee ges
gestión
tión, mientras que los cumpli
cumplimien
mientos
tos y
no cumpl
cumplimie
imientos
ntos lo hacen con las normas sustantivas a las que aquel se debe (las
obligac
obli gacione
ioness de complian
comp liancece)39. Por tanto, estas últimas definiciones vacían parcial-
mente el contenido de las primeras. No asistir a una sesión de formación requerida
por el sist
sistema
ema de gest
gestión
ión es normalmente una no conf conformi
ormidad
dad, pero no un no cum-
plimiento
plimi ento de comp
complianc
liancee cuando tal conducta no vulnera una norma obligatoria o
39 obligaciones
obligaciones de compliance
en Ciertamente, algunas ( políticas internas,
el sistema de gestión por ejemplo).
pueden Por
estareso,
plasmadas en documentos
la interpretación integrados
para clarificar si
se trata de una no conformidad o un no cumplimiento de compliance debe realizarse atendiendo a las
circunstanciass de cada caso y diferen
circunstancia diferenciando
ciando entre las cuestiones procedimentales y las sustantivas.

un compromiso asumido por la orga organizac

nización
ión . Esto explica, por ejemplo, por qué
no es necesario realizar investigaciones en casos de no conformi
conf ormidade
dadess, mientras que
sí procede ante sospechas de no cumplim
c umplimient
ientos
os, según distingue implícitamente el
apartado 8.4 Procesos de investigación. En líneas generales, aglutinar conceptualmente
no conf
conformi
ormidade
sobreactuar dadess y no cumpli
en algunos cumplimien
casosmientos
tos de compl
complianc
(investigar iancee en un
o informar
solo concepto abocaría a
al órg
órgano
ano de gobi
gobierno
erno o a las
autoridades que una persona no ha asistido a la formación interna, por ejemplo)
y no actuar correctamente en otros. El capítulo 10 Mejo
Mejora
ra nos habla de la nece-
sidad de reaccionar tanto ante no confor
co nformida
midades
des como frente a no cumplim
cu mplimient
ientos
os de
complianc
comp liancee, pero la distinción conceptual entre ambos términos ayuda a modular
la respuesta de manera correcta.
La distinción es también útil desde una perspectiva de gestión, pues un no cumpli-
miento de complian
compliance
ce que no venga precedido de una no conformid
conformidad
ad, puede delatar una
vulnerabilidad del sistema de gestión: se produce el no cumplimiento de una obligación
de complia
compliance
nce sin haber infringido algún requisito del siste
sistema
ma de gesti
gestión
ón fijado para
prevenir esa situación.
En cualquier caso, el apartado 5.3.4 Personal, que engloba a una categoría amplia de
sujetos40, obliga a que se adhieran no solamente a las obligaciones de compliance
compliance, sino
también a las políticas , procesos y procedimie
procedimientos
ntos de la organizaci
organización
ón –que es donde se
recogen los requisitos del sistema de gestión–. Es un modo de subrayar el compromiso
del personal en evitar tanto los no cumplimientos de compliance
compliance (respecto a las obliga-
ciones de compliance) como las no conformidades (respecto a los requisitos fijados por el
sistema de gestión).
40 Recordemos que el estándar ISO 37301:2021 emplea el término “ personal” en lugar de “em-
pleados” (utilizado en ISO 19600:2014), evitando vincularlo a la naturaleza jurídica de su relación
con la organización. Esto permite englobar a un conjunto muy amplio de sujetos, convirtiéndose
en una categoría residual que abarca individualmente a los componentes del órgano de gobierno, la
alta dirección
dirección, la función de compl
compliance
iance, etc. Véanse los comentarios al respecto en el apartado II.3.22
II.3.22
Personal, de este libro.


Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022 8 4.
I.6

Principios rectores
El estándar ISO 37301:2021, en su conjunto, debe interpretarse a la luz de ciertos

principios. Algunos
Algu nos vienen expresamente reconocid
reconocidos
os en su texto, mientras que otros
se infieren por su propio contenido. Seguidamente se comentan unos y otros, exclu-
yendo del análisis aquellos adicionales que puntualmente se citan, pero solo están
referidos a apartados concretos41.
I.6.1. Principios explícitos

El capítulo 1 Objeto y campo de aplicación del estándar ISO 19600:2014 relacionaba
expresamente los principios en los que se fundamentaba esta norma internacional:
buen gobierno, proporcionalidad, transparencia
transparencia y sostenibilidad. En el estándar ISO
37301:2021 pasan a localizarse en el apartado A.4.6 Evaluación de los riesgos del com-
pliance del anexo A (informativo) Guía para el uso de este documento, que añade a los
anteriores los principios de integridad y responsabilidad.
41 Por ejemplo, los expresamente reconocidos en el apartado A.7.4 Comunicación , en referencia

a los principios que deben regir las comunicaciones de la organización en materia de compliance.
45

compliance según
I.6.1.1. Principio de buen gobierno

Al igual que en el estándar ISO 19600:2014,
19600: 2014, la norma ISO 37301:2021
37301: 2021 cita ex-
presamente el principio de buen gobierno, aunque con un sentido más afinado 42.
No debemos olvidar que su elaboración se enmarca en el ISO/TC 309 cuyo WG 1
desarrolla el primer sistema de gobierno: el estándar ISO 37000 sobre gobierno de las
organizaciones43. Allí se vincula este concepto con aspectos generales como la ética y
también otros concretos como la toma de decisiones, estructuras y procesos. Todo Todo ello
coherente con las expectativas de las par
para generar valor en el largo plazo, coherente partes
tes int
interes
eresada
adass
de las organizaciones. Para todo ello, un liderazgo basado en valores es fundamental.
No cabe
cabe duda de que el estándar
estándar ISO 37301:2021 aborda estas materias,
materias, tanto desde
el punto de vista de los valores de la organi
organización
zación , a los que se refiere el apartado
5.1.1 Órgano de gobierno y alta dirección; como de las conductas en que derivan, según
apunta el apartado 5.1.2 Cultura de compliance. PorPor lo demás, todos loslo s apartados del
estándar nos hablan de estructuras organiz ativas, procesos, procedimientos y actividades
organizativas,
para hacer realidad la cultura de compliance
compliance. En cualquier caso, los contenidos del es-
tándar ISO 37301:2021, como el resto de sistemas de gestión ISO sobre compliance,
deberán interpretarse de manera coherente con el citado estándar ISO 37000 sobre
buen gobierno de las organizaciones.
I.6.1.2. Principio de proporcionalidad

La norma previa ISO 19600:2014 citaba expresamente el principio de proporciona-
lidad, como también lo hace el estándar ISO 37301:2021. Lo
L o encontramos reflejado
en su Introducción, cuando manifiesta que la implementación tanto de los requisitos
como de la Guía que acompaña al texto pueden variar dependiendo de la madurez
42 El estándar ISO 19600:2014 mezclaba aspectos generales de buen gobierno con algunas
cuestiones puntuales. Así, el apartado 4.4 Sistema de gestión de compliance y principios de buen
gobierno , realmente recogía algunas recomendaciones concretas de gobernanza para un adecuado
mando y operación del sistema (acceso directo al órgano de gobierno, independencia, autoridad
y recursos). En el estándar ISO 37301:2021 pasan a estar en el apartado 5.1.3 Gobernanza del
complianc
compl iancee, con un título mucho más acorde a su naturaleza.
43 Aunque existen numerosos textos tanto nacionales como internacionales que aportan buenas
prácticas sobre buen gobierno corporativo:

(i) Son textos emitidos por plataformas que aglutinan un número limitado de países y plasman
determinado entendimiento cultural –normalmente occidental–.
(ii) Tienen un sesgo mer
mercantil
cantil o empresaria
empresariall –de ahí la designación de buen gobierno “corpo-
rativo”–.
(iii) Suelen concebirse

provienen pensando
o involucran en las grandes
a órganos corporaciones
regulares o entidades
o supervisores–. cotizadas
La novedad y la–en ocasiones
importancia
del estándar ISO 37301:2021 sobre gobierno de las organizaciones está en que supera
todos estos límites.
I.6 Principios rectores 47
de las organizaciones, sus actividades y objetivos. En este mismo sentido, el capítulo 1

Objeto y campo de aplicación subraya que el estándar es aplicable a todo tipo de orga-
nizaciones, con independencia de su tamaño, tipo de actividad y tanto si operan en el
sector privado, como público o son entidades sin ánimo de lucro. Con independencia
de estas referencias generales, que influyen en la aplicación práctica de los requisitos
del estándar,
estándar, algunos apartados hacen especial hincapié en el principio de proporcio-
nalidad. Es el caso del apartado 7.5 Información documentada, donde una nota aclara
que el grado de la información documentada puede variar según las circunstancias de
las organizaciones. Aunque el anexo A (informativo) Guía para el uso de este documento
tampoco tiene naturaleza normativa, se refiere igualmente al principio de proporcio-
nalidad cuando plantea sugerencias rerespecto
specto a algunos apartados.
El principio de proporcionalidad figura reflejado en numerosos textos sobre compliance44.
De hecho, existe una estrecha vinculación de este principio con el análisis de las circuns-
tancias de la organiza
organización
ción, establecido en el capítulo 4 Contexto de la organización del
estándar ISO 37301:2021, indispensable para definir y mantener el sistema de de gestión
adecuado a cada caso. Este principio aboga por la interpretación proporcional de todos
los requ
requisit
isitos
os del estándar,
estándar, que no equivale a implantar solo algunos
al gunos de ellos a convenien-
cia. Se quiere evitar el llamado “ cherry-p
cherry-picking
icking”45 de requisi
requisitos
tos, esto es, la posibilidad de
obviar algunos de ellos amparándose en el principio de proporcionalidad. Por consi-
guiente, se precisa implementarlos todos, como se infiere del capítulo 1 Objeto y campo
44 Así, por ejemplo, la Int

Introd
roducc
ucción
ión al ane
anexoxo II de la Rec
Recome
omenda
ndacición
ón del Con
Consej
sejoo de la OCDE
para reforzar la lucha contra la corrupción señala que “la presente Guía es flexible y puede ser
adoptada por las empresas, en particular por las pequeñas y medianas empresas (...), en funci función
ón
de sus circunstancias propias, incluido su tamaño, su forma, su estructura jurídica y el sector de
explotación geográfica e industrial en el que operan, así como de los principios en materia de
competencia y otros principios jurídicos fundamentales que rigen sus actividades”.
Por citar ejemplos locales ampliamente conocidos, en la misma línea se manifiestan las U.S.
Sentencing Commission Guidelines, señalando que los req requis
uisito
itoss para disponer de un “ Eff
Effect
ective
ive
Compliance and Ethics Program” tendrán en cuenta una serie de factores, incluyendo el tamaño
de la organi
organizaci
zación
ón. La Guidance para la aplicación de la Foreign Corrupt Practices Act publicada
en 2012 por el Departamento de Justicia de los Estados Unidos y el regulador norteamericano
reiteran el mensaje de que no existe un Corporate Compliance Program para prevenir las prácticas
corruptas que sirva para todas las organizaci
organizaciones
ones, dependiendo de su tamaño, entre otros factores.
El Ministerio de Justicia británico es más explícito, pues en su Guidance para la aplicación de la
Bribery
Bribe ry Act del
del año 2010, hace hincapié en su aplicación sobre la base del principio de propor-
cionalidad, refiriéndose en particular a pequeñas organi organizaci
zaciones
ones que tengan recursos limitados.
45 Neiger Barbara, Successful Compliance for efficient
effic ient organizations with ISO 19600:2014. Austrian
Standards (AS), 1.ª ed., 2015, p. 83. La L a autora fue la Head of Austrian Delegation en el ISO/PC
271 sobre Compliance Management Systems (CMS) que elaboró el estándar ISO 19600 y recoge en
su obra, como “ practi
practical
cal tip ” el “ no cherry-pickin
cherry-p ickingg”. La obra dedica su capítulo 4 a desarrollar una
Guía para pequeñas y medianas empresas (pp. 160 y ss.), Austri Austrian
an Stan
Standards
dards (AS), 1.ª ed., 2015.

compliance según
de aplicación
aplicación, aunque aplicados de manera proporcional a las particularidades de cada
organización
organiz ación46. Dada la diversidad en las circunstancias internas y externas susceptibles
de concurrir,
concurrir, es imposible concretar una aplicación universal de este principio. Por eso,
algunos organismos plantean ejemplos ilustrativos47 . Debido a lo anterior, inspirarse en
modelos o prácticas de organiz
organizaciones
aciones grandes (de sociedades cotizadas, por ejemplo)
puede ser útil para una parte de las organi
organizacion
zacionees, pero no ayuda demasiado al resto.
En ocasiones se piensa que la aplicación proporcional de los requisito
requisitoss de los estándares
sobre compl
compliance
iance depende del tamaño de la organiz
organización
ación o su cifra de negocios. Aunque
son factores a considerar48, no son determinantes del sistema de gestión que precisa la
organización
organizaci ón, que estará principalmente condicionado por sus riesgos: una organizac
organización
ión
grande puede no estar amenazada por grandes riesgos de compliance y tener menos ne-
cesidades que una pequeña que sí lo esté. Aunque se tiende a asociar tamaño y riesgo,
no es una correlación necesaria. De ahí también la importancia del enfoque basado en
el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro) para una
adecuada aplicación del principio de proporcionalidad, como se explicará más adelante.
No tener enen cuenta el paralelism
paralelismoo entre el sistema de gestión
gestión y los riesgos sobre los que
proyecta sus actividades lleva fácilmente a sobredimensionarlo o infradimensionarlo.
Por último, el principio de subordinación
subordin ación a Ley (véase el aparta do I.6.2.1 Principio de
apartado de
subordinación a Ley, de este libro) también influye en la correcta aplicación razonable
del principio de proporcionalidad, por cuanto el marco normativo que afecta a la
organización o las actividades que desarrolla puede fijar exigencias concretas respecto
al tipo de actividades a desarrollar y el modo de ejecutarlas. En este sentido, pueden
concurrir condicionantes regulatorios que excedan las capacidades reales de una or-
ganización por motivo de su tamaño49.
46 El apartado A.1.2 Alca

Alcancence del anexo A (informativo) Guía para el uso de este documento s see
manifiesta en tal sentido, al indicar que deben seguirse cada uno de los requis requisitos
itos del documento.
47 US Sentencing Commission, Guidelines Manual, Chapter Eight-Sentencing of Organizations. Véanse
los ejemplos que figuran en el apartado Comentarios en relación con el tamaño de las organizaciones
y los ejemplos de aplicación de los requisitos para “ Large Organizations
Organizations” y “Small Organizations”.
48 El tamaño o la cifra de negocios de una organi organizaci
zación
ón formarían parte de las “circunstancias
internas” a considerar para dimensionar el sistema de gestión. Ahora bien, junto con ellas también
deben considerarse las “circunstancias externas”,
exte rnas”, como los mercados donde opera o la regulación
existente. De ambas categorías se extraerán los ries riesgos
gos que amenazan a la organ
organizaización
ción . Puede
resultar entonces que una organ
organizac
ización
ión pequeña (por cifra de negocios y empleados) tenga un
nivel de exposición elevado debido a los mercados y al tipo de transacciones que opera. En este
caso, esta organi
organizaci
zación
ón –pequeña– precisaría un sistema de gestión de compliance robusto, aunque
sus circunstancias internas no aparenten necesitarlo.
49 Es otro ejemplo donde las “circunstancias externas” de la
organizac
organ ización
ión (la regulación que le
aplica) precisan de un sis
sistema
tema de gest
gestión
ión de compliance que no se puede permitir debido a sus
“circunstancias internas”.
I.6.1.3. Principio de integridad

El principio de integridad aparece citado por primera vez en el estándar ISO 37301:2021.
No figuraba
figuraba expresam
expresamente
ente en su antecedent 19600:2014 aunque su Introd
antecedentee ISO 19600:2014 Introducción
ucción
recurría a este término y remarcaba la importancia de una cultura de integridad,
in tegridad, como
también hizo después el estándar ISO 37001:2016.
La integridad en las organizac
organizaciones
iones supone actuar de forma honesta, manteniendo
un compromiso con la ética y los valores que se derivan de ella. Como principio se
manifiesta al analizar la coherencia entre los valores que dicen mantener los sujetos
y sus actos. Esto produce organizaciones éticamente predecibles, con gran capacidad
de generar confianza ante la sociedad.
La Introducción del estándar ISO 37301:2021 señala la importancia de alinearse con
estándares éticos generalmente aceptados. Por otra parte, la definición de cultura
de compliance también está relacionada con la ética de la organización. Según reza el
apartado 5.1.1 Órgano de gobierno y alta dirección, forma parte de sus cometidos esta-
blecer y defender los valores de la organización. En esta misma línea, el apartado 5.1.2
Cultura de compliance señala que el órgano de gobierno, la alta dirección y la dirección
en general deben mantener un compromiso activo, visible, consistente y sostenido
en relación con los estándares de conducta que se exigen en toda la organización50.
Estos parámetros de conducta son, lógicamente, los que derivan de los valores y se
trasladan a las políticas, procesos y procedimientos a las que el personal debe adherirse,
por imperativo del apartado 5.3.4 Personal Personal.
De acuerdo con lo anterior, el estándar ISO 37301:2021 no solo fija un entorno
propicio para desarrollar el principio de integridad mediante el establecimiento de
patrones de conducta que se derivan de ellos, sino que
valores y la promoción de los patrones
también se preocupa por la uniformidad y consistencia en su aplicación: que afecten
a todas las personas en la organización y que se apliquen por igual.
50 Es una aproximación análoga a la de otras plataformas e instituciones, como la OCDE. La
Guía de buenas prácticas para los controles internos, la deontología y la conformidad se localiza en
el anexo II de la Reco
Recomendac
mendación
ión OCDE para forta
fortalecer
lecer la llucha
ucha contr
contraa el cohec
cohecho
ho ( Recom
Recomendat
endation
ion
of the Coun
Council
cil for Further Comb
Combatin
atingg Brib
Bribery
ery of Foreign Publi
Publicc Offi
Officia
cialsls in Inte
Internati
rnational
onal Busi
Business
ness
Transactions ), adoptada el 26 de noviembre de 2009. El citado anexo II se actualizó el 18 de
febrero de 2010. En el numeral 1 de su apartado A), se hace ha ce referencia al “apoyo y compromisos
sólidos, explícitos y visibles, por parte del más alto nivel de dirección, a los programas o medidas
de control interno, deontología y conformidad”.

compliance según
I.6.1.4. Principio de transparencia

El estándar ISO 37301:2021 cita el principio de transparencia como también hicieron
los antecedentes ISO 19600:2014 e ISO 37001:201651. El apartado con mayores
Comunicación
vínculos
vínculo cultura
s explícitos
explícla
de comunicar itos de complian
con esta compliance
materia ce
materia es de la organización, las, obligacion
la 7.4 obligaciones
que subrayaes dde
lae importancia
co
compliance
mpliance y
sus objetivos. Las comunicaciones de las organizaciones en materia de compliance ganan
protagonismo con los años y tienden a publicitarse externamente en el contexto de
los requisitos sobre información no financiera que demandan algunos reguladores y
la sociedad, en general.
La transparencia suele asociarse con una gestión ética, no porque
po rque sean conceptos equiva-
lentes, sino por la tendencia
tende ncia a ocultar las actuacio
actuaciones
nes reprobables. Sin embargo, el mero
hecho de comunicar de forma transparente determinadas informaciones o hechos, no los
legitima. La transparencia,
transparencia, por sí sola, no rehabilita las conductas poco éticas o ilegales.
I.6.1.5. Principio de responsabilidad

El estándar ISO 37301:2021 introduce el principio de responsabilidad que, aunque no
estaba explicitado como tal en el antecedente ISO 19600:2014, sí recurría a vocablos
equivalentes en varios apartados, mientras que la norma ISO 37001:2016
370 01:2016 práctica-
mente no los utilizaba. La responsabilidad supone, en esencia, que las l as personas y las
organizaciones se hacen responsables de sus actos. Por tanto, sus actuaciones deben
ser trazables para poder ser fiscalizadas y exigir explicaciones52. Esta aproximación
general se traduce en el establecimiento de mecanismos que permitan ejercita
ejercitarr dichas
facetas. Así, el apartado 5.3.1 Órgano de gobierno y alta dirección señala, entre sus co-
metidos, fijar y mantener mecanismos de rendición de cuentas que incluyan acciones
disciplinarias y otras consecuencias.
De acuerdo con lo anterior, el principio de responsabilidad pasa por informar de
lo que se está gestionando, dar explicaciones al respecto y asumir las consecuencias
derivadas de los actos. Aunque no se cite expresamente, este principio subyace en el
estándar, incluyendo especialmente el apartado 5.3 Roles, responsabilidades
cuerpo del estándar,
y autoridades, que deben interpretarse bajo estos parámetros. Incluso los niveles de
independencia y autonomía de que disfruta la función de compliance deben ejercerse
de manera responsable, incluyendo esta componente de rendición de cuentas.
51 El estándar ISO 37001:2016 no cita expresamente el “principio” de integridad, pero su

ucciónn se refiere a la cultura de integridad.
Introducció
Introd
52 En esta acepción, el principio de responsabilidad también podría traducirse como “de ren-
dición de cuentas”.
I.6.1.6. Principio de sostenibilidad

Tanto
Tanto el estánda
estándarr ISO 37301:202
37301:20211 como su antecede
antecedente
nte ISO 19600:2014
19600:2014 contemp
contemplan
lan
expresamente el principio de sostenibilidad,
sostenibil idad, del que hacen mención en sus respectivas
53
introducciones . No así el estándar ISO 37001:2016.
El principio de sostenibilidad se basa en desarrollar actividades con las vistas pues-
tas en el largo plazo. Este entendimiento de la realidad se contrapone a las visiones
cortoplacistas, que supeditan el futuro a un interés inmediato de presente 54. En la
esfera medioambiental, la sostenibilidad implica un consumo responsable de los
recursos naturales, de manera que no hipoteque el porvenir de las generaciones ve-
nideras. En el ámbito económico supone primar el mantenimiento de operaciones
en el largo plazo por encima de las oportunidades presentes que lo comprometen.
Esto supone la búsqueda constante de un equilibrio para operar en el mercado,
cuanto más tiempo mejor,
mejor, de modo que qu e el rendimiento acumulado
acumul ado sea siempre más
ventajoso para
p ara todos que
qu e el beneficio
benefici o inmediato de las decisiones
decisio nes insensibles
insensibl es a este
planteamiento. Para ello, es importante evitar los daños económicos y de imagen
que van asociados a los no cumplimientos
cumplimi entos de co
compliance
mpliance, que erosionan la confianza
en las organizaci
organizaciones
ones y arriesgan su futuro.
Bajo esta perspectiva, no cabe duda de que los sistemas de gestión
gestión de compliance son
una herramienta de sostenibilidad, pues contribuyen a prevenir
prevenir,, detectar y reaccionar
de manera temprana ante no cumplimientos de compliance.
Cuando las organizaciones se manifiestan abiertamente alineadas con el principio de
sostenibilidad, no solo proclaman una apuesta de futuro, sino también, su voluntad de
evitar actuaciones cortoplacistas que lo pongan en riesgo. A partir de ese momento,
todas las actividades y decisiones de las organiz
organizaciones
aciones pasan a medirse bajo ese baremo
de la sostenibilidad. Por este motivo, el interés de la función de compliance no es otro
que el interés de negocio, dado que ambos fijan su norte en la sostenibilidad de la
53 Además de la mención en su Introd

Introducció
ucciónn, el apartado 4.1 Comprensión de la organización y de
su conte
contexto
xto del estándar ISO 37301:2021 señala la sostenibilidad de la organi
organizaci
zación
ón dentro de
los factores a considerar para comprender las circunstancias que la envuelven para la fijación o
el mantenimiento del sist
sistema
ema de gest
gestión
ión de compliance, aspecto que no consideraba el apartado
equivalente del estándar ISO 19600:2014.
54 Hallamos fundamentos morales de esta visión visi ón en pensadores como Adam Smit
Smith h que, en Tran-
sacciones su obra La Teoría
Teoría de los sentimientos morales (1756) apunta que “las cualidades más útiles
para nosotros son, en primer lugar, la razón en grado superior y en el entendimiento, que nos
capacitan para discernir las consecuencias remotas de todos nuestros actos y prever el provecho
o perjuicio que con probabilidad pueda resultar de ellos; y, en segundo lugar lugar,, el dominio de sí
mismo, que permite abstenernos del placer del momento o soportar el dolor de hoy, a fin de
obtener mayor placer o evitar un dolor más grande en el futuro”.

compliance según
organización y de sus operaciones. Por ello, es radicalmente falso que dicha función
defienda los intereses de las partes interesadas como contrapuestos a los de negocio55.
El apartado A.1.1 Generalidades del anexo A (informativo) Guía para el uso de este
documento incluye, entre la relación de normas con las que puede simultanearse el
estándar ISO 37301:2021, el estándar ISO 26000 Guía de responsabilidad social (tam-
bién figura en el listado final de la bibliografía). Aunque
Aunque no se cite, resulta de utilidad
la ISO Guide 82:2019 para la aplicación de sostenibilidad en estándares.
I.6.2. Principios implícitos

Además de los que cita expresamente
expresamen te el estándar
estánda r ISO
I SO 37301:2021
37301 :2021,, existen otros
principios implícitos en la norma que condicionan enormemente su interpretación
y aplicación.
I.6.2.1. Principio de subordinación a Ley

ISO es una organización de carácter privado, que no tiene cedidas facultades
facul tades legislati-
vas por parte de los Estados de las entidades de normalización
normalización nacional que aglutina.
aglutina.
Partiendo de ahí, es obvio que no puede promover normas de cumplimiento obligado
ni fijar requisitos o directrices que contravengan el marco legal de los países donde se
aplicarán. Esta consideración general es especialmente obvia en los sistemas de gestión
de compliance, donde sería paradójico que contravinieran las regulaciones nacionales
y propiciaran su incumplimiento.
La totalidad
premisa, de contenidos
sin que sea precisodehacer
los estándares
referencia ISO
a elladeben interpretarse
constantemente bajo
56 . Si esta
alguna
especificación o directriz llegase a entrar en conflicto con la ley local donde tiene
55 Cuando, en ocasiones, se habla de “intereses de negocio” como contrapuestos a los de com-

plianc
pli ancee, en verdad se está hablando de intereses económicos cortoplacistas, que ignoran los
objetivos de sostenibilidad y suelen contravenir el auténtico interés de la orga
organiz
nizaci
ación
ón en el
medio y largo plazo.
56 No obstante, algunos estándares nacionales incluyen indicaciones expresas al respecto cuando
fijan sus especificaciones o requisitos, como es el caso de la Norma británica BS 10500:2011

sobre sistemas de gestión antisoborno, cuyo prólogo indica que el cumplimiento con un Briti
British
sh
no
Introducció
Introd
Standard
ucción confiere
n de inmunidad
la Norma españolarespecto al cumplimiento
UNE 19601:2017 de obligaciones
sigue una aproximaciónlegales (p. vincu-
análoga, ii). La
lando su contenido al régimen de responsabilidad penal de la persona jurídica establecida en el
Código penal español.
que aplicarse, se sobreentendería

sobreentende ría que no resulta exigible en virtud de este princi
principio.
pio.
No obstante,
obstante , tal circunstancia
circunstanc ia no supondría
supondr ía la inaplicación
inaplica ción del resto de contenidos
conten idos
no conflictuados.
Esta aproximación tan elemental produce, sin embargo, situaciones donde deter-
minados requisitos pueden aplicarse con normalidad en algunos países, pero no en
otros. A efectos de la evaluación de la conformidad de sistemas de ggestión
estión de compliance
ubicados en organizaciones internacionales, cabrá que la organización fundamente el
motivo de tales asimetrías.
I.6.2.2. Enfoque basado en el riesgo

En un escenario ideal de recursos ilimitados podría especularse con implantar medidas
para la prevención, la detección y la reacción temprana ante todo el universo de riesgos
de las organizaciones, por remotos que fueran. Como esto no es factible, el foco de su
atención y de sus recursos debe priorizarse siguiendo criterios lógicos. El enfoque basado
en el riesgo juega un rol clave en ello, por cuanto ayuda a identificar, analizar y valorar
los riesgos que exponen a las organiz
organizaciones
aciones, para priorizar sus actividades y, por tanto,
los medios afectos a su tratamiento. Lo contrario no solo podría interpretarse en clave
de gestión negligente, sino también, de malversación de recursos.
El enfoque basado en el riesgo guarda una estrecha relación con el principio de propor-
cionalidad (véase el apartado I.6.1.2 Princi
Principio
pio de propor
proporcional
cionalidad
idad, de este libro), puesto
que la razonabilidad del sistema de gesti
gestión
ón de compliance reside, entre otros factores, en
su capacidad de proyectarse sobre las amenazas que más exponen a la organiz
organización
ación.
Seguir un enfoque basado en el riesg
riesgoo implica concretar cuáles son los riesg
riesgos
os que
amenazan a cada organización, dentro de un ejercicio racional de previsión y consi-
derando sus circunstancias. Esto permite adoptar medidas tendentes a disminuir la
probabilidad de que se materialicen y mitigar sus consecuencias.
Ni el estándar
están dar ISO 37301:2
373 01:2021
021 ni antes
ante s los estándares
están dares ISO 19600:20
1960 0:2014
14 e ISO
37001:2016 hacen referencia explícita al enfoque basado en el riesgo dentro de su
contenido normativo. Sí que figura citado como información a considerar, a modo
de nota57 o anexo58 y también se infiere en numerosos apartados. En su conjunto, es
estándar ISO 19600:2014 cita expresamente el enfoque basado en el riesgo en la nota 2 del
57 El
apartado 4.6 Identificación, análisis y val

valoración
oración de riesg
riesgos
os de compliance (las notas no tienen naturaleza
de contenido normativo).
58
los El estándarA.4.5
apartados ISO 37301:2021 hace
Obligaciones de referencia
compliance explícita
y A.4.6 al enfoque
Evaluación de losbasado
riesgosende elcompliance
riesgo dentro de
(tienen
naturaleza informativa) del anexo A (informativo) Guía para el uso de este es te documento. El estándar
ISO 37001:2017 lo menciona en el apartado A.16 Auditorí
Auditoríaa interna de su anexo (informativo).

compliance según
obvio que juega un rol transcendente en el estándar ISO 37301:2021,

37301:202 1, comenzando
por la acotación del sistema de gestión de compliance que necesita cada organización ,
enmarcada en el capítulo 4 Contexto de la organización:
• El apartado 4.3 Deter
Determinaci
minaciónón del alcanc
alcancee del siste
sistema
ma de gesti
gestión
ón de
dell compl
compliance
iance
indica que la organi
organizació
zaciónn debe determinar las fronteras del siste
sistema
ma de gestió
gestiónn,
incluyendo sus “principales” riesg
riesgos
os de complia
compliance.
nce.
• El apartado 4.4 Sistema de gestión del compliance dice que reflejará los valores,
objetivos, estrategia y riesgos de compliance de la organización. Bajo esta premisa,
no se comprende un sistema de gestión de compliance que no se proyecte sobre
los riesgos que la amenazan.
• El apartado 4.6 Eva Evalua
luacición
ón de lo
loss ries
ri esgos
gos de compl
co mplia
iance
nce es un mandato a la
organi
org anizac
zación
ión para que desarrolle un ejercicio de evaluación de rie riesgo
sgoss, que es
la piedra angular de todo modelo de gestión con un enfoque basado en el
riesgo
ries go, como reconocen no pocos referentes internacionales sobre compli compliance
ance ,
especialmente en el ámbito de la prevención del blanqueo de capitales 59 o
del soborno60 .
59 Financial Action Task Force (FATF) – Group D’action Financière (GAFI). Su guía para aplicar
una aproximación basada en el riesgo para combatir el blanqueo de capitales y la financiación del
terrorismo (Guidance on the Risk-Based Approach to Combating Money Laundering and Terrorist
Financing-High Level Principles and Procedures), de junio de 2007, proporciona una visión general
de lo que es una aproximación basada en el riesgo, destinada principalmente a Estados.
60 Organisation for Economic Cooperation and Development (OCDE). La Guía de buenas prácticas
para los controles internos, la deontología y la conformidad se localiza en el anexo II de la Recomen-
dación OCDE para fortalecer la lucha contra el cohecho ( Recomendation of the Council for Further
Combating Bribery of Foreign Public Officials in International Business Transactions ), adoptada el 26 de
noviembre de 2009. El citado anexo II se actualizó el 18 de febrero de 2010. El inicio del apartado
A) recoge una referencia explícita a unos de los aspectos clave de una aproximación basada en el
riesgo: la evaluación de riesgos. Relaciona la razonabilidad de este ejercicio con las circunstancias de
cada empresa, evidenciando la vinculación entre el principio de proporcionalidad y la aproximación
basada en el riesgo. Señala que la eficacia de las medidas que se adopten en un programa contra la
corrupción “han de establecerse sobre la base de una evaluación de riesgos (…)”. En relación con
la aplicación de ciertas cautelas frente a terceros con los cuales la organización se relaciona, a los
que denomina “socios comerciales”, nuevamente el texto de la OCDE se refiere a desarrollar una
“contratación basada en el riesgo”.
Reconocidos textos nacionales siguen esta misma aproximación, tanto del

continente europeo61 como del americano 62. Del ejercicio de evaluación de
riesgoss ddee ccompliance
riesgo ompliance se derivan múltiples consecuencias, como explicaré más
adelante.
encuadre general, el enfoque basado en el riesgo impacta en muchos
A partir de este encuadre
apartados del estándar ISO 37301:2021, hasta el punto de que los resultados de la
evaluación de riesgos de compliance condicionan la razonabilidad de otros contenidos
de la norma:
diligencia externa. El apartado 4.6 Evaluación de los riesgos de compliance
• Debida diligencia
precisa identificar los riesgos relacionados con procesos externalizados ( outsou
outsourcing
rcing)
y terceras partes. Lo hace para aplicar ciertos procedimientos de debida diligencia
sobre las categorías susceptibles de exponer a la l a organización.
• Debida diligencia interna. El apartado 7.2.2 Proc
Proceso
eso de empleo señala que la
organización debe considerar el nivel de exposición a riesgos de compliance que
entrañan las diferentes posiciones para aplicar procedimientos de debida diligen-
cia antes de realizar incorporaciones o promociones. Solo aplicarán a aquellas
posiciones expuestas a riesgos de compliance
compliance.
61 Ministry of Justice, The Bribery Act 2010-Guidance about procedures which relevant commercial
organizations
organiz ations can put into pplace
lace to prevent persons associ
associated
ated wi
with
th the
themm from bbribing
ribing (Section 9 of the
Bribe ry Act 2010 ), Reino Unido, marzo de 2011. En el numeral 6 de la Introd
Bribery Introducci ón de dicha
ucción
Guía (p. 7) se indica que las organizaciones comerciales deben adoptar una aproximación ba-
sada en el ries
riesgo
go respecto a los ries
riesgos
gos de soborno. Este entendimiento recoge también los seis
principios que impulsa, en algunos de los cuales vuelve a aparecer explícita o implícitamente
citada la aproximación basada en el riesgo . Así, por ejemplo, en el numeral 1.5 de su principio 1
Proportionate
Proport ionate proced
procedures
ures (p. 22) indica que la aplicación de proced
procedimient
imientos
os debe realizarse adop-
tando un enfoque basado en el riesgo , lo que pone de manifiesto su vinculación con el principio
de proporcionalidad; en el numeral 4.5 de su principio 4 Due dilige diligence
nce (p. 28) nuevamente se
apunta la necesidad de recurrir a una aproximación basada en el riesgo en cuando a proced
procedimiento
imientoss
de debida diligencia (por ejemplo, en la evaluación de intermediarios); en el numeral 5.6 de su
principio 5 Communication (including training) (p. 30), o cuando se refiere a la formación de
empleados y agentes de manera aquilatada.
62 Department of Justice and the Enforcem
Enforcement
ent Division of the US Securities and Exchan
Exchangege Com-
mission,
de 2012. AAsí,
Resou
Resource
rceejemplo,
por G
Guide
uide to the USapartado
en el Foreign
Foreign Corrupt Practices
dedicado al RiskAct , Estados, Unidos,
Act
Assessment 14 capítulo
dentro del de noviembre
5 del
documento (Guiding Principles of Enforcement , pp. 58 y 59) se hace referencia explícita a que el
programa de Compliance debe ser risk-based.

compliance según
• Objetivos de compliance, indicadores, recursos e informes. Aunque el apartado

6.2 Objetivos de compliance y planificación para
para lograrlos parece ser ajeno al mundo
de los riesgos, en verdad guarda una estrecha relación con ellos. Los objetivos de
compliance deberían ser adecuados para mitigar los riesgos en su ámbito, lo que
no solo condiciona su fijación, sino también, las actividades a desarrollar para
lograrlos (apartado 6.2 Objetivos de compliance y planificación para lograrlos), los
indicadores que miden su grado de avance (9.1.3 Desarrollo de indicadores), los
recursos que se precisan (7.1 Recursos) y el modo en que se informará de todo
ello al órgano de gobierno y la alta dirección (9.1.4 Informes de compliance y 9.3
Revisión por la dirección).
Formación. Dice el apartado 7.2.3 F
• Formación. Formación
ormación que debe ser adecuada a los roles
del personal y a los riesgos de compliance
compliance que les exponen.
• Controles y proc
procedim
edimient
ientos
os. Aunque ya he hecho referencia a algunos pro procedi
cedimien
mientos
tos
y controles en particular (por ejemplo, de debida diligencia
dil igencia interna o externa), el
apartado 8.2 Establecimiento de controles
controles y pprocedimientos
rocedimientos enlaza de forma general
esta materia con la gestión de los correspondientes riesgos de compliance.
• Auditoría interna. El apartado 9.2.2 Programa de auditoría interna indica que
el programa de auditoría deberá tener en consideración los procesos afectados,
señalando así la necesidad de enfocar su trabajo sobre aquellos que supongan
exposición a los riesgos de compliance.
Los ejemplos anteriores ayudan a comprender la importancia del enfoque basado en
el riesgo: ninguna de estas materias podría abordarse razonablemente sin concretar
y priorizar antes los riesgos de compliance que amenazan a la organización63. Ayudan
también a entender la importancia de lo indicado en los apartados 4.3 Determinación
del alcance del ssistema
istema de gestión del compliance, 4.5 Obligaciones de compliance
compliance y 4.6
Evaluación de los riesgos de compliance (véase la figura 3).
3).
63 A diferencia del estándar ISO 37001:2016, la norma ISO 37301:2021 no recurre a la mención
de “riesgo superior a bajo” ( more than low bribery risk, citado en múltiples ocasiones en el estándar
ISO 37001:2016). No obstante, cuando el estándar ISO 37301:2021 se refiere a considerar los
riesgos de ccomplian
ompliance
ce, obviamente está pensando en aquellos cuya categorización –tras la evaluación de
riesgos– implican un nivel de exposición (en términos de probabilidad de ocurrencia y consecuencias,
como apunta
siquiera la definición
el estándar 3.24 Riesgo quiso
ISO 37001:2016 definir )este
de compliance superior a bajo.
concepto (es Conviene recordar
una locución que nicon
que utiliza tan
frecuencia pero que no conforma un término definido), que variará en virtud de la metodología
de evaluación de riesgos que se utilice.
Proyección correcta
de los procedimientos u Interna
de diligencia debida
u Externa
Procesos
afectados por
los riesgos toma
Actividades
de conciencia
de formación
enfocadas
y
Evaluación Personal Determinación de objetivos

de riesgos de r afectado por Actividades para lograrlos
r de compliance concretos u
compliance los riesgos u
Procesos , , procedimientos y Recursos para impulsarlos

Terceras partes controles adecuados
afectadas por para su cobertura u
los riesgos
Indicadores para medirlos
Enfoque correcto de las u
revisiones y auditorías
Reportes para informar
Figura 3. El enfoque basado en el riesgo implica la adecuada evaluación de

los riesgos de compliance que exponen a la organización. Es un ejercicio de
crítica, pues de su adecuado contenido depende la eficacia de
importancia crítica,
multitud de actividades comprendidas en el sistema de gestión.
La evaluación de riesg
riesgos
os de compli
compliance
ance se concibe como un ejercicio actualizable64
periódicamente –de forma planificada– o bien cuando se producen cambios en las
circunstancias de la organización –de manera sobrevenida–. Como se infiere de todo
anterior, su deficiente ejecución u obsolescencia deteriora el desempeño de muchos
lo anterior,
apartados del estándar.
64 El capítulo 4 Contexto de la organización de la HLS parece centrado en considerar elementos
contextuales que ayudan a determinar el alcance del sistem sistemaa de gestión, lo que induce a pensar que
aplican en el momento de su diseño o reevaluación. Sin embargo, el análisis de riesgos no solo
debe vincularse exclusivamente a esos momentos, sino realizarse a lo largo de la vida del sistem sistemaa
de gest
gestión
ión . Para evitar esta equivocación, se pensó en traspasar el contenido del apartado 4.6
Evaluación
Evaluaci ón ddee los riesgos de ccomplian
ompliance
ce al capítulo 6 Planif
Planificaci
icación
ón, aunque finalmente se mantuvo
en su ubicación inicial, alineada con los estándares previos ISO 19600:2014 e ISO 37001:2016.
No obstante, algunos
al gunos estándares nacinacionales
onales (UNE 19601:201
19601:2017 7 Sistemas de gestión de compliance
penal. Requisi
Requisitos
tos co
conn orie
orientación
ntación para su uso y UNE 19602:2019 Sistemas de gestión de compliance
tributario. Requisitos con orientación para su uso) lo ubican en dicho capítulo 6 Planif Planificació
icaciónn, por
los motivos señalados.

compliance según
I.6.2.3. Principio de seguridad razonable

El concepto de seguridad razonable se contrapone al de seguridad absoluta. El co-
nocido marco de referencia COSO65 lo reconoció en el año 1992, considerando que
todo mecanismo de control tiene limitaciones inherentes que le impiden prevenir o
detectar vulneraciones, normalmente por efecto de los errores humanos, la negligencia
o el dolo66. Bajo esta perspectiva, un entorno de control no puede brindar garantía
absoluta de estar exento de vulnerabilidades, pero puede contribuir a reducir la ex-
65 El origen de COSO se remonta al año 1985, momento en que se funda en Estados Unidos la
National Commission on Fraudulent Financial Reporting, partiendo de una iniciativa del sector pri-
vado para revisar,
revisar, analizar y emitir recomendaciones sobre reportes financieros fraudulentos.
fraudulentos. L
Loo
poco atractivo de su denominación propició que fuera comúnmente referida a través del nombre
de su primer presidente, James C. Treadway, conociéndose de forma abreviada como la Treadway
Commission.
En un primer momento, se dedicó a estudiar reportes financieros del periodo comprendido entre
octubre de 1985 y septiembre de 1987, emitiendo en octubre de ese año un Informe con sus con-
clusiones y recomendaciones titulado Report of the National Commission on Fraudulent F Financial
inancial
Reporting . Sin embargo, hecho este estudio, se percibió la necesidad de emitir recomendaciones
para evitar las deficiencias detectadas, constituyéndose en su seno un grupo al que se denominó
Committee Of Sponsoring Organizations (COSO) con dicho propósito.
El enfoque desarrollado inicialmente por COSO es adoptado por el órgano regulador norteameri-
cano, la Securities and Exchange Commission (SEC) como patrón de control interno en el ámbito
de la información financiera, convirtiéndose desde entonces en estándar mundialmente reconocido
sobre esta materia. La Final Rule emitida por la SEC a tales
tal es efectos el 14 de agosto de 2003
200 3 supone
un reconocimiento notorio al modelo COSO, aunque excluya su aplicación en ámbitos que no
estén directamente relacionados con los reportes financieros, tales como el cumplimiento de las
leyes (salvo las que traten la preparación de estados financieros). Sin embargo, ello no obsta que
los principios de COSO nacieran con una vocación más extensa y tengan, de hecho, aplicación en
el ámbito del compliance.
66 Así,
por ejemplo, COSO I, que es el documento emitido en el año 1992 que fija su marco inte-
grado de control interno (COSO Internal Control-Integrated Framework), apunta que los controles
pueden fallar por colusión de varias personas para evitar los procesos de gestión del riesgo.
posición a ese riesgo dentro de un nivel aceptable. Es un entendimiento que también

incorporan conocidas normas de compliance67 .
El estándar ISO 37301:2021 conforma un MSS de tipo A (certificable). Por tanto, un
tercero independiente
cabe interpretar puede emitir
una declaración una
en tal opinión
sentido como de conformidad
que no se hayan conproducido
su contenido. No
irregula-
ridades en el pasado o de que no vayan a materializarse en el futuro68. Evidentemente, una
opinión independiente que confirme la adecuación del sis sistem
temaa de ges
gestió
tiónn es un elemento de
generación de confianza, pero no sustituye la valoración que finalmente puedan hacer los
poderes públicos –especialmente la administración de Justicia– cuando el ordenamiento
jurídi
jurídico
co le re
recon
conoce
oce tal facultad 69. Lo contrario contravendría el principio de subordina-
facultad
ción a Ley (véase el apartado I.6.2.1 Prin
Princip
cipio
io ddee su
subor
bordin
dinació
aciónn a Ley, de este libro), que
aplica a todas las
l as normas ISO.
67 Por citar algunos ejemplos, el capítulo 8 del Guidelines Manual que publica anualmente la US
Sentencing Commission señala que el fallo en prevenir o detectar delitos no significa necesariame
necesariamente
nte
que el programa de compliance no sea, en líneas generales, efectivo en la prevención y detección de
conductas criminales. No obstante, también apunta que la recurr recurrencia
encia de determinada
determinadass conductas
inapropiadas cuestiona que la organización haya adoptado
adopt ado las medidas razonables para cumplir con
los requisitos de las líneas directrices. Por consiguiente
consiguiente,, aunque la constatación de tales conductas
no cuestiona per se la eficacia del programa, sí lo hace su reiteración.
En Intégrate el documento que publican en 2012 conjuntamente el Departamento
Departamento de Justicia de
los Estados Unidos y el regulador norteamericano (Securities and Exchange Commission), A ResourceResource
Guide to the US Foreign Corrupt Practices Act , se considera que “ningún programa de compli
compliance
ance puede
siempre prevenir toda la actividad criminal de sus empleados” y, por eso, no exige un estándar de
perfección. En el sentido apuntado previamente por el Guidelines Manual, también dice que “el fallo
en prevenir una sola violación no significa necesariamente que el programa de compliance de una
determinada compañía no sea generalmente efectivo". Las citas textuales, así como los contenidos
que se citan se ubican dentro del capítulo 5 del documento (Guiding Principles of Enforcement ), ), en
el
El apartado
Ministeriodedicado a definir
de Justicia un “seCorporate
británico Compliance
manifiesta análogo”,alenseñalar
en sentidoProgram la p. 56.
que “ninguna política
ni procedimi
procedimientos
entos son capaces de prevenir y detectar todos los sobornos”, en su documento The
Bribery Act 2010-Guidance about procedures which relevant comercial organisations ccan an put iinto
nto place
to prevent persons associated with them from bribing (Section 9 of the Bribery Act 2010 ), Reino Unido,
marzo de 2011. Cita extraída del numeral 6 de la Introducción de dicha guía (p. 7).
68 Es una consecuencia del principio de seguridad razonable, que viene señalado, por ejemplo, en el
estándar ISO 37001:2016, cuando su Introducción dice que “la conformidad con este documento no
puede proporcionar ninguna garantía
garantí a de que el soborno no haya ocurrido o no ocurrirá
ocurri rá en relación
con la organización , ya que no es posible eliminar por completo el riesgo de soborno”. Aunque
no existe una declaración equivalente en el estándar ISO 37301:2021 ni en su antecedente ISO
19600:2014, ambos plantean en su Introducción “minimizar” no cumplimientos (no eliminarlos)
y también emplean ocasionalmente el vocablo “reducir”, con ese mismo sentido.
69 La aplicación más obvia
obv ia de esta prerrogativa es el principio de libre valoración
valoraci ón de las pruebas que
asiste
la a Jueces y del
Introducción Magistrados en la37301:2021
estándar ISO práctica totalidad
señala de
queloslosordenam
ordenamientos
ientos
Tribunales dejurídicos. No obstante,
diversas jurisdicciones
han valorado el nivel de compromiso de las organizaciones con el compliance –a la luz de su sistema
de gestión–, para determinar la pena aplicable ante vulneraciones de la Ley.

compliance según
En general, un sistema de ggestión

estión de compliance razonable reduce la probabilidad de que
ocurran no cumplimientos de compliance
compliance o mitiga sus consecuencias, pero no erradica
ambos factores70. La Introducción del estándar ISO 37301:2021 se manifiesta en tal
sentido, como ya lo hizo el precedente ISO 19600:2014.
Sentado todo lo anterior, el estándar ISO 37301:2021 incorpora el resultado del
trabajo desarrollado por expertos acreditados de diferentes países y, por tanto,
buenas prácticas de compli
compliance
ance ampliamente reconocidas en la comunidad interna-
cional. Por ello, la adecuada aplicación de su contenido transmite confianza tanto
a la orga
organizac
nización
ión , como a las terceras partes con las que se relaciona y al mercado
en general.
I.6.2.4. Principio de mejora continua

Un sistema de gestión mantendrá su eficacia a lo largo del tiempo si es capaz de adap-
tarse a las circunstancias cambiantes donde opera. Tanto las organizaciones como su
entorno varían, siendo necesario que el sistema de gestión contemple los mecanismos
evolu cionar con el tiempo. Este proceso supone
que le permitan afrontar esta realidad y evolucionar
la mejora continua del sistema de gestión, de modo que no solo se acomoda a la realidad
diaria, sino que lo hace del mejor modo posible.
Existen metodologías muy centradas en la mejora continua
continu a de los proceso
procesoss71, pero los
estándares de complia
compliance
nce de ISO
IS O siguen una orientación particular.
particular. En este sentido,
no persiguen tanto la “eficiencia” del sistem
sistemaa de gestión, sino su “ efica
eficacia
cia”, esto es, el
70 Por este motivo, los estándares de complian

compliance
ce suelen referirse a la “reducción” del riesgo. El apartado
8.2 Establecimiento del estándar ISO 37301:2021 subraya la necesidad de
que Establecimie nto de
sean efectivos, con
controles
troles(única
aclarando y pr
procedimientos
ocedimientos
nota) que el testeo de controles solo pretende contrastar si son
efectivos para la reducción de la probabilidad de ocurrencia o las consecuencias del riesgo sobre los
que se proyectan. No se pretende que brinde una conclusión de seguridad absoluta en cuanto a su
eficacia, en el sentido de erradicar la probabilidad de que materialicen no cumplimientos
cumplimientos de compl
compliance
iance
o que, en tal caso, dejen de provocar consecuencias adversas completamente.
Como apunta, por ejemplo, el apartado 5.1.1 Órgano de gobierno, de la Norma UNE 19601:2017.
T
También
ambién se rrecurre
ecurre a la categoría de “ riesgo bajo”, que no a la de “ riesgo nulo”.
categoría
71 Sirva como ejemplo la metodología Six Sigma, que trata de reducir los defectos en los distintos di stintos
procesos
proce sos de la organiz
organización
ación . A la larga, termina convirtiéndose en una filosofía que pone el acento
en la evolución constante de la organ organizac
ización
ión en búsqueda de la mejo
mejora
ra conti
continua
nua . Se basa en el
principio de que “lo que no se puede medir no se puede mejorar”. Por tanto, determinando
un sistema de medida se dispone de una base objetiva para la mejora. Su metodología se basa,
pues, en el
Aunque el enfoque
análisis científico de los
in icial es proy
inicial datos.
proyectar
ectar esas mej
mejoras
oras sobre el cli
cliente
ente de los produc
productos
tos o servici
servicios
os
de la organ
organizac
ización
ión , también se aplica la metodología Six Sigma a clientes “internos”, es decir,
dentro de la propia organi
organizaci
zación
ón.
grado en que las actividades planificadas se ejecutan y se consiguen los resultados

esperados72. Conseguirlo aplicando el menor número posible de recursos (eficien-
cia) es un objetivo que está desterrado en los sist
sistemas
emas de gest
gestión
ión d
dee compl
complianc
iancee de
ISO por lo arriesgado de esta dinámica, que puede comprometer la efica eficacia
cia en aras
a la eficiencia.
anterior, el vocablo “eficiencia” no consta en la HLS ni en los sistemas de
Debido a lo anterior,
gestión de compliance, a diferencia de lo que sucede con el término eficacia.
La mejora continua es también un término definido que consta en la HLS y que igual-
mente hallamos en los estándares ISO 19600:2014 (definición 3.27), ISO 37001:2016
37001:20 16
(definición 3.24) e ISO 37301:2021 (definición 3.12): actividad recurrente para
mejorar el desempeño (resultado medible). Por consiguiente, esta materia enlaza con
la fijación de indicadores que indica el apartado 9.1.3 Desarro
Desarrollo
llo ddee ind
indicadore
icadoress del
estándar ISO 37301:2021. Estos indicadores permitirán conocer si mejora o no el
desempeño del sistema de gestión de compliance.
La HLS (véase el capítulo I.2 La HLS de ISO , de este libro) incorpora también
un capítulo para tratar la mejora del siste
si stema
ma de gesti
ge stión
ón, como también lo hacen
todos los estándares sobre co comp
mplilian
ance
ce (ISO 19600:2014, ISO 37001:2016 e
ISO 37301:2021). Esta mejora se consigue analizando no conf co nfor
ormi
mida
dade
dess y no
cumplimi
cump limiento
entoss de complia
comp liance
nce , no solo para gestionarlos, sino para adoptar medidas
que impidan que se reproduzcan; y también introduciendo cambios de manera
planificada en el sis
sistem
temaa ddee ggest
estió
iónn.
El principio de mejora continua guarda también relación en el enfoque basado en el
riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro): mejorando
las diferentes medidas organizativas y actividades articuladas por el sistema de gestión
se disminuye el nivel de exposición de la organización a los riesgos de compliance. Por
ello, un ejercicio de evaluación de dichos ries
riesgos
gos ejecutado de manera defectuosa
compromete las capacidades para desarrollar actividades de mejora y pone en riesgo
esta faceta tan relevante73.
es la definición de efic
72 Esta eficacia
acia , tanto en la HLS (definición 3.6) como en el estándar ISO
37301:2021 (definición 3.13).
73
Sería el
tuviesen la caso, por ejemplo,
calificación de bajos,donde todos
de modo que,losaparentemente,
eventuales riesgos de ccompliance
ompliance
no procediese de laactividades
realizar organización
organizació
den
supervisión distintas de las que se venían realizando
realizando,, siendo inútil cualquier mejora. No obstante,
es un escenario teórico muy improbab
improbablele en la práctica.

Parte II
Comentarios al
contenido del estándar
ISO 37301:2021

II.0

Introducción
Propósito de la introducción
La Introducción del estándar ISO 37301:2021 es un excelente recursorecurso interpretativo
frente a las dudas que pueda plantear la aplicación
aplicació n práctica de su contenido. La norma
debe leerse comprendiendo bien su finalidad y sin encorsetarse en su literalidad,
deliberadamente parca. Es especialmente valiosa cuando detectamos incoherencias
puntuales entre los resultados de la aplicación de su tenor literal y la filosofía del
estándar. En este sentido, el valor de la Introducción es indudable.
La Introducci
Introducción
ón remarca la importancia de la cultura de compliance como factor de
éxito de las organizaciones. Representa una oportunidad no solo para mejorar
mejo rar su éxito
en el corto plazo, sino también, para afianzar la confianza de sus grupos de interés y
mejorar las perspectivas de sostenibilidad.
No cabe duda de que el mejor modo de procurar el cumplimiento de las obligaciones
de compliance
compliance es convertir esta meta en una cuestión cultural que se traduzca en las
actitudes y los comportamientos correctos de quienes trabajan para la organización.
t ales efectos, el compromiso del órgano de gobier
A tales gobierno
no y la alta direcc
dirección
ión juegan un
rol importante cuando viene precedido por la fijación y difusión de valores claros y
secundado por sus propias conductas. Evidentemente, mantener una cultura positiva
que promueve el compliance no obedece a la casualidad, resultando de la voluntad de
la organización y de sus líderes. Compliance es el fruto de un proceso consciente y no
es un acto puntual ni el fruto de la casualidad.
Un sis
sistema
tema de ges
gestió
tiónn de com
complia
pliance
nce constituye una herramienta para los propósi-
tos anteriores. Aunque puede operar aisladamente, es importante que lo haga de
forma integrada con otros proc procesos
esos de gestión, requ
requisit
isitos
os operativos y proc
procedim
edimient
ientos
os
65

compliance según
de la organización. Cuando se interioriza que solo existe un modo de desarrollar

actividades, que es de forma ética y respetuosa con las normas, carece de sentido
interpretar que comp
complia
liance
nce es algo separado de los pro
proces
cesos
os ordinarios de negocio.
Ante este entendimiento, solo cabe fusionar ambas facetas, siempre que sea posible.
Disponer de un sistema de ges
gestión
tión de compliance facilita que la organización y sus líderes
muestren su compromiso con el respeto de las normas ante las autoridades. Pero Pero este
efecto positivo del compli
compliance
ance no es un objetivo en sí mismo, sino la mera consecuencia
de procurar una cultura de respeto a las normas. Por eso, la Introducción del estándar
ISO 37301:2021 lo cita de forma colateral.
Evidentemente, disponer de un sistema de gestión de compliance genera implicaciones
en términos de recursos. Hay quienes ven en ello un inconveniente mayor que las
supuestas ventajas que reporta. La Introducció
Introducciónn del estándar ISO 37301:2021 rela-
ciona una serie de ventajas tangibles y con efecto directo en el negocio, incluyendo
la mejora en la imagen y la reputación de las org
organiz
anizaci
aciones
ones . Se subrayan así los
beneficios del compliance , más allá de su mera conveniencia para mejorar la defensa
ica de las organ
jurídica
juríd organizaci
izaciones
ones y como factor mitigante de sanciones. Sin perjuicio
de lo anterior y en este último sentido, apunta que cada vez más administraciones
valoran positivamente la implantación de modelos de compliance como evidencia de
debida diligencia.
h abitual en las introducciones de las normas de compliance74, se
Finalmente y siendo habitual
Finalmente
señala la aplicación proporcional del estándar ISO 37301:2021 según las circunstancias
internas y externas de cada organización. Incorpora un novedoso esquema que ayuda
a interpretar sus diferentes componentes en clave de ciclo Deming75.
74 La Introducción
Introdu cción de los estándares previos ISO 19600:2014 e ISO 37001:2016 hace referencia
a su aplicación considerando los diferentes factores que envuelven a cada organ
organizac
ización
ión.
75 Sobre el particular, véanse los comentarios en el capítulo I.4 El estándar
están dar ISO 3730
37301:2021
1:2021 com
comoo
sistema
sis tema Do,
( Plan, de gest ión,. Ac
gestión
C
Check
heck, Ent )relación
Act con ela llamado
para la mejor
mejora conti nua“ciclo
continua Deming”,
en todo tipo de se refiere a laque
situaciones, operativa PDCA
presentó en la
década de 1950 el estadístico y profesor universitario William Edwards Deming (Sioux City
Iowa, 1900-Washington DC 1993, EE.UU.).
II.0 Introducción 67
Evolución respecto a ISO 19600:2014

El estándar ISO 19600:2014 concebía el compliance como un resultado a conseguir,
mientras que la norma ISO 37301:2021 lo concibe como un proceso continuo, que
relaciona con la generación o el mantenimiento de una cultura positiva. Introduce
como novedad relevante una relación enunciativa de los beneficios derivados de dis-
poner de un sistema de gestión de compliance76.
Análisis de los capítulos del estándar ISO 37301:2021

A continuación, en los siguientes capítulos de este libro, se comentan los diferentes
apartados en los que se estructura el estándar ISO 37301:2021, que se corresponden
con el orden que sigue la HLS. La correlación entre la estructura que sigue a conti-
nuación este libro con el índice de dicho estándar facilita la localización de materias
a efecto de consultas.
76 Es una cuestión destacable que pretende erradicar la idea de que un sistem
sis temaa de gestió
ges tiónn de
complianc
compl iancee supone invertir recursos sin un retorno de inversión claro. La lista de beneficios que
plantea no figuraba en los estándares previos ISO 1960:2014 ni ISO 37001:2016.

II.1

Objeto y
campo de aplicación
Propósito de este capítulo

El capítulo 1 Objeto y campo de aplicación del estándar ISO 37301:2021 centra la
finalidad de la norma, siendo su propósito establecer los requisitos de un sistema de
de
gestión sobre compliance, pero también, proporcionar directrices que faciliten su co-
rrecta aplicación, esencialmente a través de su anexo A (informativo) Guía para el uso
de este doc
docume
umento
nto.
El contenido de la norma
n orma permite desarrollar múltiples acciones acerca de un sistema
acerca
de gestión de compliance:
Establecerlo, cuando la organización no dispone de él.
• Establecerlo,
• Desarrollarlo, cuando, disponiendo de él, existen facetas que todavía no han
evolucionado todo lo que debían.
• Implementarlo, cuando el sis
sistema
tema de ges
gestión
tión contempla sustancialmente los
componentes precisos, pero es necesario completar su puesta en práctica.
p ráctica.
• Evaluarlo, cuando la organización desea conocer la adecuación de su modelo
en comparación con los requisitos que determina el estándar, como reflejo del
estado del arte en su materia.
• sistema
Mantenerlo, para
para. llevar a cabo correctamente las actividades que contempla el
de gestión
incrementar su eficacia.
• Mejorarlo, con el fin de incrementar
69

compliance según
Es interesante el uso del calificativo “eficaz” que emplea el capítulo en relación con el sis
siste
tema
ma
de gestió
gestiónn , subrayando así la importancia de que desarrolle las actividades planificadas
77
y obtenga los resultados previstos78. Destierra la idea de modelos meramente estéticos.
En línea
dad con
(véase el lo anticipado
apartado I.6.1.2 su Introducción
en Principio , apuntala el principio
de proporcionalidad de proporcionali-
p roporcionali-
, de este libro), planteando
la aplicación estándar ante cualquier tipo de organización por tamaño, naturaleza y
sector de actividad,
activ idad, ya sea en
e n el ámbito público,
pú blico, privado o incluso, en el Tercer sector.
sector.
Finalmente, derivado también de la aplicación proporcional del estándar,
Finalmente, estándar, este capítulo
señala el modo de integrar sus req
requis
uisito
itoss en orga
organiz
nizacio
aciones
nes, donde no existe una separación
funcional entre el órgano de gob
gobierno
ierno y la alta dirección, según también explica la nota 1
a la primera definición, pensando en pequeñas organiz
organizaciones.
aciones. En estos casos, aplican
los requisitos de ambos grupos al único órgano o colectivo
co lectivo existente que cubre las fun-
ciones o cometidos de ambos, según vienen definidos en el estándar ISO 37301:2021.

Una variación obvia respecto al estándar previo IS0 19600:2014 es que estamos frente una
norma de req requis
uisito
itoss, en lugar de directrices. Como se explica en cada uno de sus capítulos,
esto ha precisado un ejercicio de reflexión en cuanto a su contenido, dejando lo esencial
como requ
requisit
isitos
os y reubicando el resto como directrices en su anexo A (informativo) Guía
paraa el uso de est
par estee doc
documumen
ento
to, que carece de naturaleza normativa. Esta dinámica explica que
una norma sin anexos como el estándar ISO 19600:2014, se haya transformado en un
estándar con contenidos normativos bastante más acotados, pero con un nutrido anexo.
Siguiendo esta lógica, los principios que invisten el estándar y que antes constaban
relacionados en el capítulo 1 Alcance del estándar ISO 19600:2014 se localizan ahora
en el apartado A.4.4 Sistema de gestión del compliance del anexo A (informativo) Guía
paraa el uso de est
par estee ddocu
ocumen
mento
to, de la norma ISO 37301:2021. A los principios que ya
y a se
citaban de buen gobierno, proporcionalidad, transparencia y sostenibilidad, se suman
ahora los de integridad y responsabilidad (véanse los apartados I.6.1.3 Principio de de
integridad y I.6.1.5 Principio de responsabilidad, de este libro).
77 El capítulo 1 Objeto y campo de aplicación del estándar ISO 19600:2014 también se refería a la
eficacia del sistema de gestión, a lo que añadía su capacidad de dar respuesta ( responsive).
78 Aunq
Aunqueue el capítulo 1 Objeto y campo de aplicación no emplea el vocablo “eficaz” como un término
definido, no puede obviarse que el estándar incluye una definición de eficac
eficacia
ia vinculado con el
grado en que se realizan las actividades planificadas y se logran los resultados planificados. Es un
término que
Sentencing también utilizan
Commission otros
Guidelines muchos
cuando textos reconocidos
se refieren a un “ effectiveinternacionalmente,
interna cionalmente,
Compliance como
and Ethics las US”
Program
y que señala el nivel de implementación y eficacia de los mecanismos articulados por el modelo,
desmarcándose así de aproximaciones puramente formales.
II.2

Referencias normativas

Para los lectores no habituados a los sistemas de gestión de ISO, el título del capítulo 2
Referencias
Referenci as normativas induce a confusión. Su propósito no es listar las normas rela-
cionadas con el estándar en un sentido amplio, sino exclusivamente aquellos textos
que son resultado de la normalización
no rmalización (estándares) a los ququee se precisa recurrir para
interpretar y aplicar correctamente el estándar ISO 37301:2021. No se refiere, por
tanto, a la normativa en general.
Observamos que el cuerpo del estándar ISO 37301:2021 cita otras normas fruto de
la estandarización, pero siempre en ubicaciones sin dimensión normativa, como notas
o el anexo A (informativo) Guía para el uso de este documento. Así, son recomendaciones
las referencias a la ISO Guide 73:2009 IN Gestión del riesgo. Vocabulario (en la defi-
nición 1.1 Riesgo), a la ISO 9000:2015 Sistemas de gestión de la calidad. Fundamentos
y vocabulario (en la definición 3.4.5 Procedimiento), a la ISO 19011:2018 Directrices
para la aauditor
uditoría
ía de los siste
sistemas
mas de gesti
gestión
ón (en el apartado 9.2 Auditorí
Auditoríaa iinterna
nterna); y
también a otros estándares adicionales que añade su anexo A (informativo) Guía para
el uso de este docu
documen
mento
to:
• Estándares que pueden implementarse conjuntamente
conjuntamente con ISO 37301:2021:
ISO 31000:2018 Gestión del riesgo. Directrices, ISO 37001:2016 Sistemas de
gestión antisob
antisoborno
orno.. Requisito
Requisitoss con orientac
orientación
ión para su uso, ISO 9001:2015 Sistemas
de gestión de la calidad. Requisitos, ISO 14001:2015 Sistemas de gestión ambien-
tal. Requisitos con orientación para su uso, ISO/IEC 27001:2013 Tecnología de
la informaci
i nformación.
ón. Té
Técnicas
cnicas de segurida
seguridad.
d. Si
Sistemas
stemas de G
Gestión
estión de la Se
Seguridad
guridad de la
Información. Requisitos e ISO 26000:2021 Guía de responsabilidad social.
71

compliance según
estándares citados según contexto: IEC 31010:2019 Gestión del riesgo.

• Otros estándares
Técnicas de apreciación del riesgo (en relación con las técnicas para la evaluación
del riesgo), e ISO 19011:2018 Direc Directrices
trices para la auditor
auditoría
ía de los siste
sistemas
mas de
gestión (se vuelve a citar en relación con el modo de desarrollar la auditoría).
Además, en el apartado Bibliograf
Bibliografía
ía del estándar ISO 37301:2021 figura también
una relación de estándares.
De esta relación de textos, enunciados a título informativo, se extraen dos conclu-
siones relevantes:
• Aunque el sistema de gestión que articula estándar ISO 37301:2021 tiene una
vocación
vocac ión transversal,
transv ersal, pudiendo
pudie ndo igualmente inclu ir obliga
igual mente incluir obligacione
cioness de compliance
compli ance
objeto de otros estándares específicos (por ejemplo, las relacionadas con la
prevención del soborno –ISO 37001:2016–, o con la gestión del medio am-
biente –ISO 14001:2015–), tal circunstancia no significa que se cumplan sus
requisitos específicos. Por
Por consiguiente, la eventual certificación de un sistema de
de
gestión sobre la base del estándar ISO 37301:2021 no equivale a satisfacer los
requisitos de estos u otros estándares. Habría sido necesario cumplir con ellos
de haberse referenciado como contenido normativo y no a título informativo
o de mera recomendación.
• Aunque sigue el enfoque basado en el ries ri esgo
go (véase el apartado I.6.2.2
I.6.2.2
Enfoq
Enf oque
ue bas
basad
adoo eenn eell rrie
iesg
sgoo, de este libro), el estándar ISO 37301:2021 no
obliga a recurrir a la norma ISO 31000:2018 Gestión del riesgo. Di Direc
rectri
trices
ces ,
aunque se cita en el apartado A.4.6 Eva Evalua
luacición
ón de los ries
ri esgos
gos de com
compli
plianc
ancee
del anexo A (informativo) Guía para el uso de este documento. Es una omisión
deliberada, como antes hicieron los estándares ISO 19600:2014 e ISO
37001:2016, para facilitar la aplicación del principio de proporcionalidad
(véase el apartado I.6.1.2 Pr Prin
incicipi
pioo de prop
pr opor
orcicion
onal
alid
idad
ad de este libro), de
modo que cada or orga
gani
niza
zacición
ón seleccione la metodología de evaluación de
ri
riesg
esgos
os que mejor se adapte a sus circunstancias.

El capítulo 2 Ref
Referen
erencia
ciass norm
normativ
ativas
as del estándar ISO 37301:2021 está vacío de
contenido,, como también lo estaba el mismo capítulo de la norma ISO 19600:2014.
contenido
II.3

Términos y definiciones

El capítulo 3 Términos y definiciones del estándar ISO 37301:2021 relaciona y
explica los conceptos que se reiteran a lo largo de la norma. Por consiguiente,
no son objeto de definición aquellos términos que se emplean aisladamente 79 ,
ni algunos otros cuyo contenido es objeto de indicación detallada en el apartado
correspondiente80.
Como es común en los estándares internacionales, no aparecen listados en orden
alfabético, sino más bien conceptual, sabiendo que su traducción a otras lenguas
dejaría sin sentido una prelación anglófona.
Conocer bien el significado de los
lo s términos y definiciones es esencial para una correcta
aplicación de los MSS de ISO,ISO, pues condicionan enormemente la interpretación
in terpretación y la
aplicación de sus requisitos. Aun estando familiarizado con los términos y definiciones
de la HLS, conviene recordar que los estándares sobre compliance matizan algunas de
ellas e incluyen otras adicionales de capital relevancia.
relevanci a. En este sentido, la HLS incorpora
21 definiciones, mientras que el estándar ISO 37301:2021 relaciona 32 términos.
79 Es el caso, por ejemplo, del término “socios de negocio”, que solamente aparece en una nota
de la definición 3.30 de la tercera parte. Puede sorprender que este concepto no haya sido utili-
zado en el estándar ISO 37301:2021, pero tal circunstancia
ci rcunstancia obedece al estar subsumido dentro
del concepto de tercera parte .
80 No se consi
consideró
deró preciso defini
definirr “forma
“formación”,
ción”, “toma de conci
conciencia
encia”” o “comu
“comunicac
nicación”,
ión”, por
ejemplo, al no emplearse de forma generalizada y disponer de apartados con esos mismos títulos
que desarrollan su contenido.
73

compliance según
Dada la importancia que tienen las definiciones para la correcta interpretación y

aplicación de los estándares, se intenta que su número se limite a las indispensables,
conscientes de que cada definición adicional conlleva la necesidad de consultarla
cuando se cita y,
y, por tanto, es una barrera para la lectura y el empleo fluido del texto
de la norma. Cuando un término no está definido en el estándar ISO 37301:2021,
se interpreta según el contexto o en su sentido común81.
Todas
Todas las definiciones son organizativas y, y, por tanto, no obedecen a con
conceptos
ceptos jurí-
dicos ni están asociadas con ningún sistema jurídico. Así, por ejemplo, el concepto
de organización no equivale al de “persona
“ persona jurídica”, el de personal al de “empleado”,
el de alta dirección al de directivos sujetos a determinada relación jurídica, etc. Esta
circunstancia es importante a la hora de aplicar correctamente el estándar ISO
ju rídica de algunos de sus términos o requisitos
37301:2021, pues seguir la acepción jurídica
puede distorsionar su sentido.

El estándar ISO 37301:2021 incorpora 31 definiciones, en comparación con las 35
de la norma previa ISO 19600:2014. Las diferencias son:
• Desaparecen las definiciones de: requisito de compliance, compromiso de com-
pliance, código, Estándares organizativos e industriales, autoridad regulatoria,
contratar externamente (externalizar) y corrección.
• Se añaden las definiciones de eficacia, conducta y tercera parte.
• Se sustituye la definición de empleado por personal.
Puede llamar la atención que no se defina “sistema de gestión de compliance”, pero

ningún estándar incorpora como término definido el resultado de todos los l os requisitos
que normaliza, cuya esencia refleja el apartado 4.4 Sistema de gestión del compliance del
estándar ISO 37301:2021. Por tanto, no se trata de un olvido, sino de una práctica
81
Así
del sucede,en
contexto porque
ejemplo
ejemplo, , conEn
se utilice. el término “gobierno”,
ocasiones se emplea cuya interpretación
al hablar variará dependiendo
de “buen gobierno”, mientras
que en otros casos es una referen cia al apartado 5.1.3 Gobernanza del compliance. Sin embargo,
referencia
en otras ocasiones, su sentido es coloquial.
II.3 Términos y definiciones 75
común que también se ha ido observando en los estándares previos 82. Tampoco se
considera olvido el que no figuren algunas definiciones frecuentes en el mundo del
compliance como “socio de negocios”83 o “debida diligencia”84, por su escasa utiliza-
ción en el cuerpo normativo del estándar.
estándar.
II.3.1. Organización
La definición, su importancia y origen
Es la “persona o grupo de personas que tienen sus propias funciones con responsa-
bilidades, autoridades y relaciones para el logro de sus objetivos (3.6)”.
Es un concepto de importancia capital, que se emplea en prácticamente todos los
capítulos del estándar ISO 37301:2021 y cuyo contenido coincide con el de la HLS,
como también sucede

ISO 37001:2016 en los estándares
(definición 3.2). previos ISO 19600:2014 (definición 3.1) e
Comentarios
No cabe
cabe duda de que se trata de unun concepto
concepto fundamental
fundamental een n la medida que el sistema
de gestión
g estión d
dee compliance se proyecta sobre la organizació
organizaciónn, según señala el apartado
4.4 Sistema de gestión del compliance del estándar ISO 37301:2021.
3730 1:2021. Por tanto,
tanto, la ade-
cuación del sistema debe evaluarse en relación con la organización en la que se aplica.
La definición considera que la consecución de determinados objetivos es el factor que
cohesiona a los diferentes elementos que aglutina. Por este motivo, compartir tales
objetivos y sus consecuencias denota si una persona o grupo de personas forman real-
82 El estándar ISO 19600:2014 no incorporaba el término definido “sistema de gestión

gesti ón de compliance
compliance”
en su capítulo 3 Términos y definiciones, ni el estándar ISO 37001:2016 hacía lo propio respecto a
“sistema de gestión antisoborno
antisoborno”,”, a pesar de que ambos recurrían respectiva
respectivamente
mente a los conceptos
en numerosas definiciones y, por supuesto, a lo largo del cuerpo de dichas normas.
83 El vocablo “socio de negocios”, definido en el estándar ISO 37001:2016 y de uso frecuente en
los textos de compliance sobre la prevención de la corrupción y del soborno, solo figura en la única
nota a la definición de Tercera parte del estándar. Sobre este particular, véanse los comentarios
ampliados en el apartado II.3.30 Tercera parte, de este libro.
84
Parece
textos extraña lae.ausencia
de complianc
compliance delaparece
Pero solo término
en definido “debida
el apartado diligencia”,
7.2.2 Proceso de uso
de eempleo
mpleo frecuentecon
, vinculado enlamuchos
debida
diligencia en los procesos de contratación y promoción de empleados
empleados.. No fue tampoco un término
definido en el estándar ISO 19600:2014, aunque sí en la norma ISO 37001:2016.

compliance según
mente parte de una organización o son terceras partes, con las distintas consecuencias
que se derivan de ello, a efectos del estándar ISO 37301:202185.
La nota 1 que incorpora el apartado deja patente lo dúctil del concepto, pues, entre
otras opciones, comprende:
• Un trabajador independiente.
• Una corporación, firma,
firma, empresa, sociedad, organización benéfica o
empresa, autoridad, sociedad,
institución, tanto de naturaleza jurídica privada como pública.
• Una parte de las estructuras citadas en el párrafo anterior,
anterior, o una combinación
de ellas.
Evidentemente, estas aproximaciones nos recuerdan que se trata de un término or-
ganizativo y no jurídico, donde prevalece la noción de “ risky entity” sobre la de “legal
entity”, en línea con un enfoque basado
b asado en el riesgo (véase el apartado I.6.2.2 Enfoque
Enfoque
basado en el riesgo, de este libro).
La flexibilidad de este concepto organizativo desconcierta a quienes están acostumbra-
dos a manejarse en términos jurídicos, donde una organización se corresponde con una
persona jurídica o, como mucho, con un grupo de personas jurídicas. Pero les resulta
más trabajoso comprender que, afectos del estándar ISO 37301:2021,
37301:202 1, una sola persona
comprender varias organiz
jurídicaa pueda comprender
jurídic organizaciones
aciones (caso, por ejemplo, de confluir en una
sola entidad distintas actividades dirigidas y desarrolladas por sus correspondientes
grupos de personas, con unos objetivos propios cada uno de ellos) o que, incluso, una
con stituirse en orga
porción de varias personas jurídicas puedan constituirse organiza
nización
ción diferenciada (en
una joint ventur
venturee contractual, por ejemplo, donde cada partícipe asigna ciertos equipos
y, todos ellos, asumen en conjunto unos objetivos propios distintos de los individuales
de las personas jurídicas u organizaciones de origen que los han aportado). Todo ello
permite establecer el sistema de gestión de compliance que mejor se adapte a cada caso
en aras a su eficacia y que puede llevar a disponer de un solo modelo para un conjunto
conju nto
de entidades legales, o que una de ellas establezca varios en su seno. El estándar ISO
37301:2021, al igual que
qu e sus antecesores, no quiere encorsetar la definición, exigiéndole
85 Así, por ejemplo, la relación matriz-filial puede encuadrarse como una sola organización o como
una relación entre organizaciones diferenciadas, dependiendo de si comparten o no objetivos. Estos
objetivos comunes normalmente se traducen en compartir o concentrar procesos decisorios, lo que
permite actuar de manera coordinada en la consecución de las metas compartidas. Estos objetivos
también suelen ir acompañados de procesos de control o supervisión comunes. Por consiguiente, la
relación matriz-filial no conduce necesariamente a la existencia de una sola organ
organización
ización, ni incluso en
escenarios de participación mayoritaria si no concurre esa unidad de objetivos. De estas consideraciones
resultará
de la necesidad
este término en elde tratar a ciertas
apartado II.3.30entidades como
Tercera parte terceras
, de partes (véanse
este libro), los comentarios
o la gestión acerca
de determinados
procesos de los que se estén ocupando como contrataciones externas (véanse las cautelas al respecto
que se apuntan en el apartado II.8.1 Planificación y control oper
operacional
acional, también de este libro).
muchos condicionantes, con el peligro de que terminen complicando la adaptación

del modelo de compliance a las circunstancias de cada caso y perjudicando su eficacia.
Sin perjuicio de todo lo anterior,
anterior, es cierto que algunas de las opciones organizativas
que admite la decisión pueden ocasionar dificultades prácticas a la hora de certificar
el sistema de gestión86.
El uso extensivo que el estándar ISO 37301:2021 realiza del concepto “ organización”
tiene normalmente el propósito de atribuirle el impulso o ejecución de requisitos87 .
Esto no plantea problemas de asignación en escenarios simples donde la organización
coincide con la persona (trabajador independiente), pero cuando está formada por
un grupo de personas, cabe preguntarse quién asume la responsabilidad concreta en
relación con esos requisitos. En líneas generales, cabrá identificar a los sujetos que dis-
pongan de la capacidad operativa para ello88, susceptibles de variar significativamente
según las muchas alternativas organizativas que admite el concepto de organización.
Ciertamente, el órgano de gobierno y la alta dirección ejercen una enorme vis atractiva
al respecto, pues representan
representan las máximas instancias de gobierno social, con amplias
facultades para la adopción de decisiones e incluso, tienen límites legales en la dele-
gación de roles sobre cuestiones relevantes89.
En cualquier caso, para requi
requisitos
sitos especialmente relevantes, el estándar ISO 37301:2021
no se limitito a exigirlos a la organi
organizació
zaciónn, concretando después quién en su seno asume
86 Los problemas prácticos más destacables son de tipo técnico y también en cuanto a las expec-
tativas de confianza que genera la certificación. Desde una perspectiva técnica, puede resultar
difícil deslindar los elementos del sistema de gestión de la organi organizaci
zación
ón evaluada respecto a los
que corresponden a otras organi organizaci
zaciones
ones donde se integra o de donde se desgrana. En particular,
perfilar el entorno de control en estos casos es complejo si, por ejemplo ejemplo,, se comparten controles
y estructuras. Por otra parte y desde una perspectiva de confianza, una certificación referida a una
parte de una entidad, puede confundirse fácilmente con una opinión respecto a su conjunto. Se
ha dado algún paso nacional para mitigar los inconvenientes de la elasticidad de la definición:
por ejemplo, el estándar español UNE 19601:2017 sobre sistemas de gestión de comp complia
liance
nce
penal añade que ese conjunto de elementos debe constituir una unidad operativa y de negocio.
87 Much
Muchos os apaparta
artados
dos d
del
el es
estánd
tándar
ar IS
ISOO 373
37301:2
01:2021
021 aatri
tribuye
buyenn requ
requisi tos a la org
isitos organi
anizac
zación
ión (“la
organiz
orga nizaci
aciónón debe…”), lo que puede ocasionar dudas sobre a quién en concreto corresponde
impulsarlos (más allá de que deban estar presentes para dar debido cumplimiento cumplimient o a la norma).
88 En muchas ocasiones, la capacidad operativa irá vinculada a la capacidad legal para desarroll desarrollarar
esos cometidos, lo que obligará a considerar el marco jurídico donde debe desenvolverse el
sistem
sis temaa ddee gest
g estión
ión , por aplicación del principio de subordinación a Ley.
89 Cada vez más ordenamientos jurídicos señalan cometidos no delegables por las máximas
instancias de gobierno social, incluyéndose normalmente los relacionados con la supervisión

y control. Por otra parte, aun cuando se puedan delegar ciertas actividades:
(i) Ello no implica necesariamen
necesariamente
te la delegación de la rresponsabilida
esponsabilidad
d última en cu
cuanto
anto a sus
resultados.
(ii) Tampoco equivale a una “abdicación” de ciertos cometidos, cuando son especialmente
trascendentes para una gestión social responsable.

compliance según
un rol destacado con ellos.

ello s. Por eso,
eso, es especialmente relevante explorar el contenido
de los apartados 5.1 Liderazgo y compromiso, 5.3 Roles, responsabilidades y autoridades,
9.1.4 Informes de compliance y 9.3 Revisión por la dirección
dire cción, para concretar las figuras
más próximas a determinados requisitos que en otros apartados del estándar se atri-
buyen a la organización, en términos generales.
II.3.2. Parte interesada

Es la “persona u organizac
organización
ión (3.1) que puede afectar, verse afectada, o percibirse
como afectada por una decisión o actividad”.
Es un concepto cuya aparición se circunscribe a los capítulos 4 Contexto de la
organizac
orga nización
ión , 5 Lide
Liderazgo
razgo , 7 Apoy
Apoyoo y 9 Evalu
Evaluació
aciónn del dese
desempeño
mpeño del estándar ISO
37301:2021; con un notable protagonismo en el primero –como elemento nece-
sario para enfocar correctamente el siste sistema
ma de gestión– y un rol de acompañamiento
en el resto.
Se emplea exactamente la misma definición que en la HLS y que igualmente utilizó
el estándar ISO 19600:2014 (definición 3.2). La definición utilizada en la norma
ISO 37001:2016 (definición 3.3) incorporaba una nota, apuntando que las partes
interesadas podían ser tanto internas como externas, recordando así que existen nu-
merosos colectivos afectados por la actividad de compliance en el seno de la propia
organización
organiza ción, más allá de los empleados en general. Son, normalmente colectivos,
áreas o funciones internas que precisan interactuar y nutrirse de información de com-
plianceComprensión
A.4.2
. Aunque el estándar ISO 37301:2021 no explicita esta diferencia, el apartado
de las necesidades y expectativas de las partes interesadas
interesad as del anexo A
(informativo) Guía para el uso de este documento, contempla una relación no limitativa
donde figuran ejemplos de ambas categorías.
Comentarios
Existe la tendencia errónea a pensar que las partes interesadas son siempre colectivos
externos a la organización. Tal
Tal vez por ello, aunque
aunqu e la relación de ejemplos
ejemplo s propuesto en
el apartado A.4.2 Comprensión de las necesidades y expectativas de las partes interesadas del
anexo A (informativo) Guía para el uso de este documento
documento señala algunos de estos colec-
tivos, escasean los que tienen naturaleza
natural eza interna, entre los que cabría destacar aquellas
áreas o funciones relacionadas con la gestión de riesgos, el buen gobierno corporativo
(incluyendo la responsabilidad social y la sostenibilidad), el control de riesgos legales,
etc. A medida que legisladores, reguladores

reguladores y supervisores incrementan
incrementan el protago-
nismo de la información no financiera de las organizaciones, también se acrecienta la
necesidad de que la función de compliance
compliance interactúe con estos y otros grupos internos,
que manejan en su quehacer datos e informaciones sobre esta materia.
II.3.3. Alta dirección

Es la “persona o grupo de personas que dirigen y controlan una organización (3.1)
al más alto nivel”.
Es una definición que se emplea en los capítulos 1 Objeto y campo de aplicación , 5
Liderazgo, 8 Operación y 9 Evaluación del desempeño, del estándar ISO 37301:2021.
No obstante,
obstante, su máximo protagonismo
protagonismo radica en el capítulo 5 Liderazgo. Es la misma
el capítulo
definición establecida por la HLS y que previamente utilizar
utilizaron
on también sin variación
los estándares
estándares ISO 19600:2014 (definición 3.3) e ISO 37001:2016 (definición 3.6).
Comentarios
La definición de alta dirección puede no comprenderse sin considerar la de órgano de
gobierno y estar a lo que dispone el capítulo 1 Objeto y campo de aplicación del estándar
ISO 37301:2021.
Aunque la HLS define alta dirección, no hace lo propio respecto a órgano de gobierno.
Para la mayoría de los estándares ISO, la alta dirección es, simplemente, el máximo
nivel decisorio en el seno de la organización, como se infiere con claridad de las notas
incorporadas a su definición. Es, como todos, un concepto organizativo que puede
tener diferentes encajes legales.
No obstante, el estándar ISO 19600:2014 añadió la definición de órgano de gobierno
como colectivo que gobierna la organización, estableciendo su estrategia y al que la
alta dirección informa (definición 3.4). Se introdujo así un órgano por encima de la
alta dirección, como también hizo después el estándar ISO 37001:2016 (definición
3.7). Además de emplear términos parecidos, su nota 1 advertía que “no todas las
organiza
orga nizacion
ciones
es, especialmente las organizaciones pequeñas, tendrán un órga
órgano
no de gobi
gobierno
erno
independiente de la alta dirección”. Este mensaje se reproduce ahora en dos lugares
del estándar ISO 37301:2021 (definición 3.21): en el capítulo 1 Objeto y campo de
aplicación y en acrecienta la nota 1 a la propia definición de órgano de gobierno (véase
el apartado II.3.21 Órgano de gobierno, de este libro).

compliance según
Esta distinción permite acomodar algunos requisit

requisitos
os del estándar a las diferentes moda-
lidades organizativas y legales que pueden darse. Así, cuando se atribuyen actividades
o responsabilidades al órgano de gobierno y a la alta dirección:
• caracterizan
Aplicarán al las
único órgano
órgano existente
definiciones cuando concurran
de alta dirección y de órganoendeélgobierno
los elementos
. que
• Aplicarán de forma selectiva

selectiva cuando existan órganos
órganos diferenciados, según
según dis
dis--
crimine el contenido normativo del estándar ISO 37301:2021.
De acuerdo con lo anterior, por ejemplo, aplicará todo el contenido del apartado
II. 5.1.1 Órgano de gobierno yy alta direcció
direcciónn al único órgano que reúna las características
de ambas definiciones; pero se estará a la distribución de requisitos que fija dicho apar-
tado90 cuando existan dos órganos diferenciados. Otros casos reseñables los hallamos
en los apartados 5.3.1 Órgano de gobierno y alta dirección, en relación con los roles,
responsabilidades y autoridades de dichas instancias, y 9.3 Revisión por la direcc dirección
ión,
relativa a la cadena de reporte interna de compliance (véanse los apartados II.5.1.1 II.5.1.1
Órgano de gobierno y alta dirección y II.9.3 Revisió
Revisiónn por la direcci
dirección
ón, ambos de este libro).
II.3.4. Sistema de gestión

Es el “conjunto de elementos de una organización (3.1) interrelacionados
interrelacionados o que
interactúan para establecer políticas (3.5), objetivos (3.6) y procesos (3.8) para lograr
esos objetivos”.
Se trata de un concepto importante por su utilización extensiva en el cuerpo del

estándar ISO 37301:2021 pero, sobre todo, por su valor conceptual. Remarca la
importancia de la interacción de componentes como factor diferencial respecto a
programas de compliance que se limitan a listarlos y describirlos, pero que no pro-
fundizan en su interrelación.
Es la misma definición que figura en la HLS, que se utilizó también en los estándares
ISO 19600:2014 (definición 3.7) e ISO 37001:2016 (definición 3.5).
apartado II.5.1.1 Órgano de gobierno y alta dirección, de este libro, establece algunos con-
90 El
tenidos dirigidos exclusivamente al órga

órgano
no de gobi
gobierno
erno , mientras que fija otros son comunes de
dicho órganoespectros
cubre ambos con la alt
altaa dir
direcc
(abarca ión .elementos
ección
los Esta distinción
de las es intrascendente
definiciones cuando
de órgano de un solo órgano
gobierno y alta
dirección), pero cabe considerarla cuando existen dos. En relación con este apartado, véase el
apartado II.5.1.1 Órgano de gobierno y alta dirección , de este libro.
Comentarios
El estándar ISO 37301:2021 determina un siste
sistema
ma de gesti
gestión
ón, de manera que sus
componentes guardan relación los unos con los otros, según se ha explicado ante-
riormente (véase el capítulo I.4 El estándar ISO 37301:2021 como si
se aprecia gráficamente sistema
stema de ge
gestión
Istión
,
de este libro). La forma en que interactúan en la figura que
aparece en la Introducción de la norma.
no rma. Como se puede observar,
observar, existe una serie de
elementos que condicionan el modelo en su conjunto (principios, contexto de la
organización y objetivos), mientras que otros forman parte de su operativa continua,
dentro de cada uno de los apartados clásicos “planificar, hacer, comprobar, actuar”
(“ Plan, Do, Check, A
Act
ct ”),
”), tan típicos del conocido ciclo Deming (véase el capítulo I.2 I.2
La HLS de ISO, de este libro).
Asimismo, no define “ sistema de gestión de compliance”, dado que es el resultado de
Asimismo,
aplicar el contenido normativo del estándar en su conjunto. Por lo demás, brinda
una descripción general en el apartado 4.4 Sistema de gestión del compliance
compliance. Tampoco
se incorporó la definición en las normas ISO 19600:2014 e ISO 37001:2016 –este
último respecto a “ sistema de gestión antisoborno”–, por los mismos motivos, aunque
igualmente utilizaron estos conceptos en su cuerpo 91.
En cualquier caso, disponer de un “ sistema de gestión”, en general, o de un “ sistema de
gestión de compliance”, en particular,
particular, no constituye una
un a finalidad en sí misma, siendo
meramente instrumental a su propósito trascendente. Aunque el contenido del apar-
tado 4.4. Sistema de gestión de compliance no ayuda mucho a encontrarlo, sí lo vemos
reflejado en la Introd
Introducción
ucción del estándar ISO 37301:2021,
37301 :2021, de gran valor interpretativo.
interpretativo.
Es allí donde aparecen los vínculos del compliance con la cultura de lal a organización y
la conducta de sus personas, siendo las piezas clave que brindan auténtico sentido a
un sistema de gestión de compliance.
91 El estándar ISO 19600:2014 no define “sistema de gestión de compl

compliance
iance ”, aunque se refiere
a él ence numerosas
alcan
alcance sist ema ocasiones
del sistema de gesti
gestión y puede
ón del compl cincelarse
iancee y 4.4.a Sistema
complianc través dedesus apartados
gestión 4.3 Deter
Determinac
de compliance y minación
ión ddel
principios deel
buen gobie
g obierno
rno. El estándar ISO 37001:2016 tampoco define “sistema de gestión antisoborno”,
pero describe sus trazos esenciales en el apartado 4.4.

compliance según
II.3.5. Política
Son las “intenciones y dirección de una organización (3.1), como las expresa formal-
mente su alta dirección (3.3)”. No obstante, la única nota aclaratoria de esta entrada
señala que también puede expresar una política el órgano de gobierno.
Es una definición de uso frecuente en el estándar ISO 37301:2021, principalmente en
el capítulo 5 Liderazgo, donde dispone de un apartado que la desarrolla: 5.2 Política
Política
de compliance. No obstante, también se cita en los capítulos 6 Planificación, 7 Apoyo,
8 Operación y 9 Evaluación del desempeño.
Esta definición coincide
coinc ide con la de la HLS y es equivalente con la que antes emplearon
los estándares ISO 19600:2014 (definición 3.8) e ISO 37001:2016 (definición 3.10).
Comentarios
Una política manifiesta la voluntad de la organización en determinada materia, para
alinear con ella la condu
conducta
cta del person
personal
al92 y de los terceros
terceros bajos su supervisión, evitando
que las actividades se desarrollen según sus criterios individuales. Por tanto, no es
una mera manifestación de intenciones, sino que dispone de d e naturaleza obligacional
para sus destinatarios. Lo contrario,
co ntrario, le privaría de todo sentido.
El contenido de las políticas lo fijan las máximas instancias de gestión social, mientras
que los proce
procedimie
dimientos
ntos que las desarrollan suelen prepararse por órganos o cargos
técnicos que dependen de ellas. En cualquier caso, ni un procedimiento ni cualquier
otra norma de rango inferior debería contravenir lo establecido en las políticas, pues
constituyen la máxima representación de la voluntad de la organización. Aunque el
estándar ISO 37301:2021 señala que las políti políticas
cas las expresa formalmente la alta
dirección, aclara en su única nota que también puede hacerlo el órgano de gobierno.
92
La definición 3.22 que establece el estándar ISO 37301:2021 es amplia y se aleja del
término “empleados” Personal
al que recurría el previo estándar ISO 19600:2014. Así, incluye a sujetos
vinculados con la organización sea mediante una relación laboral, como de cualquier otro tipo. Por
consiguiente, abarca también a la alta dirección e incluso, a los miembros del órgano de gobierno.
Recordemos que este último término no figura definido en el texto de la HLS y de

ahí surge la necesidad de la aclaración93.
Curiosamente, el estándar define el término política, pero no “ política de compliance” a
pesar de que se utiliza ampliamente cuerpo normativo94. El contenido de esta política
concreta viene determinado por:
• La conjunción de las definiciones “ polí
política
tica ” y “ comp
complianc
liancee”, lo que conduce
necesariamente al documento que plasma la voluntad de la orga organizac
nización
ión e
enn
cuanto al cumplimiento de todas sus obliga
obligacione
cioness de ccomplianc
ompliancee.
• Lo establecido en el apartado 5.2 Polític
Políticaa de comp
complian
liance
ce, donde, a pesar de
la apariencia general de su título, el contenido hace referencia explícita a la
política
polít ica de compl
complianc
iancee.
Aunque la polít
Aunque política
ica de compl
compliance
iance es un elemento dentro del sistem
sistemaa de gestió
gestiónn que articula
el estándar ISO 37301:2021, goza de un protagonismo indudable al tratarse de una
exigencia muy frecuente en los textos sobre compliance y dentro las expectativas de
las partes interesadas, especialmente las Administraciones Públicas. De este modo, la
fijación clara de la voluntad de la organización en materia de compliance es el primer
paso para exigir ciertos parámetros de conducta y determinar:
(i) Actividades tendentes a su mejora.
(ii) Elementos de control
control que permitan valorar
valorar su grado de conocimiento
y debido cumplimiento. Toda actividad de control sobre patrones de
comportamiento no fijados previamente corre el riesgo de considerarse
arbitraria.
93 El estándar previo 19600:2014 únicamente señalaba la alta dirección dirección como emisor de las políticas,
a pesar de que su capítulo 3 Términos y definiciones contemplaba la definición de órgano de gobierno
(a diferencia de la HLS, que se limita a definir la alta dirección en un sentido muy amplio). El es-
tándar ISO 37001:2016 solucionó esta laguna indicando en el cuerpo de la definición de política
que las podían expresar, tanto la alta dirección
d irección de la organización como su órgano de gobigobierno
erno. El
estándar ISO 37301:2021 opta por no expandir la definición, refriéndose solo a la alta dirección ,
pero aclarando su interpretación más amplia mediante una nota. En relación con este particular,
véanse los comenta
comentarios
rios a la
lass d
definiciones de alta dirección
efiniciones dirección y órgano de go
gobierno
bierno en los apartados II.3.3
II.3.3
Alta dirección y II.3.21 Órgano de gobierno, ambos de este libro.
94 Esta situación ya se producía en los estándares previos ISO 19600:2014 e ISO 37001:2016.
A pesar de no
n o defi
definir
nir “ pol
políti
ítica de comp
caliance
complia
liance ”, la Norma ISO 19600:2014 sí definía
nceindicando defi nía de manera
separada polí
polític
ticaa (3.8) y comp
complia nce (3.17), en su apartado 5.2 Políti
Política
ca de ccompl
omplianc
iancee.
El estándar ISO 37001:2016 se limitó a definir pol políti
ítica
ca (3.10) y sob
soborn
ornoo (3.1), estableciendo
también el apartado 5.2 Polít
Política
ica ant
antiso
isobor
borno
no .

compliance según
II.3.6. Objetivo
La definición, su importancia y el origen
Es el “resultado a lograr”.
Es una definición de uso frecuente en el estándar ISO 37301:2021, principalmente
en el capítulo 6 Planificación, donde el apartado 6.2 Objetivos de compliance y planifi-
cación para lograrlos cincela el concepto, aunque también se emplea en los capítulos 4
Contexto de la organización, 5 Liderazgo, 6 Planificación y 9 Evaluación del desempeño.
Es una definición importante a la hora de comprender el funcionamiento de un mo-
delo de compliance en clave de un sistema de gestión (véanse también los comentarios
en el capítulo I.4 El estándar ISO 37301:2021 como sistema de gestión y en el apartado
I.6.2.2 Enfoque basado en el riesgo, ambos de este libro).
l ibro).
Es la misma definición que viene marcada por la HLS y que antes también utilizaron
los estándares ISO 19600:2014 (definición 3.9) e ISO 37001:2016 (definición 3.11).
Comentarios
Es estándar utiliza el concepto de objetivo, pero no define el concepto de “ objetivos de
compliance” que:
• Son el resultado de agregar los términos definidos de “ objetivo” y “ compliance”,
que conduce a los resultados a lograr en materia del cumplimiento de las obli-
gaciones de compliance que afectan a la organización.
• Su formulación detallada se apartado 6.2 Objetivos de compliance y
se indica en el apartado
planificación para lograrlos.
Quienes no están habituados a los modelos de comp complian
liance
ce que operan en clave de siste
sistema
ma
de gestión suelen confundir los objeti
objetivos
vos de
de compl
compliance
iance con propósitos generales, como la
tolerancia cero a los no cumplimientos
cumplimientos de comcompliance
pliance, el mantenimiento de una cultura
corporativa ética y respetuosa con las normas, etc. Sin restar valor a estas manifesta-
ciones, que son más propias del marco para la definición de objetivos en la política de
compliance (véanse los comentarios en el apartado II.5.2 Política
Política de comp
compliance
liance, de este
libro), los objetivos de compliance varían en virtud de diferentes parámetros, vinculados
con las circunstancias internas y externas de la organ
organizaci
ización
ón y su nivel de exposición a los
riesgos
riesgos de comp
complian
liance
ce (véanse los comentarios en el apartado II.6.2 Objetivos de compliance
compliance
y planificación
planificación para lograrlos, de este libro). Por tanto, el marco estable para la fijación
de objetivos que determina la política de compliance, no equivale a dichos objetivos.
Para facilitar su determinación, algún estándar (Norma UNE 19 601:2017 Sistemas de
19601:2017
gestión
gestión de comp
complian
liance
ce pena
penal.l. Requ
Requisito
isitoss con orien
orientació
taciónn para su uso, en su apartado 6.3 Obje-
tivos de compliance penal y planificación para lograrlos) diferencia entre obje

objetiv
tivos
os estratégicos
y tácticos u operativos, ayudando a transitar desde enfoques “macro” a planteamientos
“micro” o detallados, lo que facilita concretar las actividades a planificar,
planificar, los recursos que
se precisarán a tales efectos, los indicadores para medir su grado de consecución, etc.
II.3.7. Riesgo
Es el “efecto de la incertidumbre sobre los objetivos (3.6)”.
Se trata de una decisión ampliamente utilizada en el cuerpo del estándar ISO
37301:2021, con especial relevancia en el apartado 4.6 Evaluació
Evaluaciónn de los riesgo
riesgoss de
compliance.
Aunque es la misma definición empleada en los estándares
estándares previos
previos ISO 19600:2014
(definición 3.11) e ISO 37001:2016 (definición 3.12), es distinta de la que aparece en
la HLS, que define el riesgo de forma mucho más amplia: “efecto de la incertidumbre".
Comentarios
La definición de ries
riesgo
go que incorpora el estándar ISO 37301:2021, aunque más
acotada que la propuesta por la HLS, sigue siendo un término amplio. Esto obliga
a definir posteriormente riesgo de compliance.
Yendo más allá de la HLS, la definición vincula la incertidumbre al término definido
objetivos, lo que acota su contenido a los resultados que se pretenden alcanzar a través
del sistema de gestión de compliance. Por consiguiente,
consiguiente, es una cuestión que enlaza con
los contenidos del apartado 6.2 Objetivos de compliance y planificación para lograrlos.
Una de sus notas aclaratorias señala que el riesgo puede expresarse en términos de
probabilidad o consecuencias, que es precisamente lo que hace después el concepto
de riesgo de
de compliance
compliance. En este sentido, el estándar ISO 37301:2021 sigue una apro-
ximación, generalmente
generalmente acept
aceptada, esfera de la evaluación de riesgos. El apartado
ada, en la esfera
A.4.6 Evaluación de llosos riesgos de com
compliance
pliance del anexo A (informativo) Guía para el uso
de este documen
documentoto, no solo se refiere a la probabilidad de un riesgo y a sus consecuencias,
sino que introduce los conceptos de riesgo inherente y residual
residual. El primero es aquel que
se estima en ausencia de medidas de control o tratamiento, mientras que el segundo
resulta de tener en cuenta su efecto en la valoración resultante. Aunque el estándar
toma conceptos habituales en la gestión de riesgos, evita referirse al “apetito de riesgo”,
que induciría a pensar que la organización puede decidir qué normas cumple y cuáles

compliance según
definició n de compliance, que

no. Se trataría de un escenario incoherente con la propia definición
se refiere expresamente a observar “todas” las obligaciones de compliance que afectan a
la organización. Es, pues, una omisión deliberada95.
II.3.8. Proceso
Es el “conjunto de actividades interrelacionadas o que interactúan, que emplean o
transforman elementos de entrada para obtener resultados”.
Es una definición presente en casi todos los capítulos del estándar ISO 37301:2021,
sin que ninguno de ellos realice un uso especialmente intenso de la misma. Su empleo
es común en cuanto a que diferentes componentes y requisitos de la norma se vinculan
con los procesos de la organización.
Es una definición basada en la HLS, que acogieron los estándares ISO 19600:2014
(definición 3.10) e ISO 37001:2016 (definición 3.15).
Comentarios
Aunque todos los términos
Aunque términos que define
define el estándar
estándar ISO 37301:2021
37301:2021 son organizat
organizativos,
ivos,
no legales, esto es muy patente en el concepto de proceso. Las organiza
organizaciones
ciones desarrollan
sus actividades a través de diferentes procesos, que van desde la gestión de compras, las
actividades de prestación de servicios, la entrega de productos, la gestión financiera
ysino
un siguiendo
largo etcétera. Estas prefijado,
un orden y otras actividades nointerrelaciones
con ciertas se desarrollan ydeformalidades.
manera aleatoria,
Esta
manera predefinida de actuar puede plasmarse gráficamente en los denominados
“mapas de procesos”.
Los procesos pueden conformarse y quedar formalizados en uno o varios procedim
procedimientos
ientos,
que fijan la forma específica de ejecutarlos. El estándar ISO 37301:2021 también
incorpora la definición de procedi
procedimiento
miento que, aun no estando presente en la HLS,
también se utilizó en el estándar ISO 19600:2014, pero no en el ISO 37001:2016,
que ocasionalmente hace un uso coloquial del término.
95 El concepto de “apetito de riesgo” se debatió expresamente y se excluyó del cuerpo del estándar
ISO 37301:2021. El apartado A.4.6 Evaluación de los riesgos de compliance del anexo A (informa-
tivo) Guía para el uso de este documento señala que se comparará el nivel de riesgo de compliance que
resulta dicho ejercicio con el establecido en la política de compliance, que obviamente pretenderá el
cumplimiento de las obligaciones de compliance, sin cortapisas.
II.3.9. Competencia
Es la “capacidad para aplicar conocimientos y habilidades con el fin de lograr los
resultados previstos”.
Es una definición de uso limitado en el estándar ISO 37301:2021, básicamente en
los capítulos 5 Liderazgo y 7 Apoyo, en relación con las competencia
competenciass de personas o
categorías de sujetos. Es la misma definición que figura en la HLS y que también
utilizaron los estándares previos ISO 19600:2014 (definición 3.23) e ISO 37001:2016
(definición 3.13).
Comentarios
Competencia
apartado del no
7.2solo es un término
Competencia definido,
del estándar ISOsino también, el Cuando
37301:2021. encabezamiento
se habla del
de
competencia o de factores que inducen o se asocian a la competencia de una persona o
de un colectivo, cabe realizar una interpretación amplia, no limitada a la titulación
académica o a la formación teórica, sino también, al bagaje práctico y a otras capaci-
dades esperables por motivos del rol a desempeñar
desempeñar..
II.3.10. Información documentada

Es la “información que una organización (3.1) tiene que controlar y mantener, y el
medio en el que está contenida”.
Es una definición de uso intensivo en el estándar ISO 37301:2021, en la medida que
se asocia con múltiples requisit
requisitos
os en relación con los requisit
requisitos
os de informa
información
ción docume
documentada
ntada
del estándar ISO 37301:2021, consúltese el anexo I Información documentada, de este
libro), que deberán entonces mantenerse y acreditar según determina el apartado 7.5
Información
Infor mación docum
documentad
entadaa. Es una definición coincidente con la de la HLS, que también
se empleó sin la alteración los estándares previos ISO 19600:2014 (definición 3.24)
e ISO 37001:2016 (definición 3.14).
Comentarios
La definición de informació
informaciónn document
documentada
ada supone la necesidad de que ciertos requisitos
estén recogidos en un soporte de calidad. No cualquier documento reúne las condi-

compliance según
ciones exigidas por el apartado 7.5 Información documentada, sino solo aquellos que
observan ciertos parámetros relacionados con su creación, actualización y control.
Esto puede aplicar a documentos o informaciones, tanto descriptivos del siste
sistema
ma
96
de gestión
ges tión, comolosproducidos
Antiguamente, sistemas de ogestión
gestionados con motivo
hacían referencia a lade su aplicación práctica
documentación, al control.
de documentos y al control de registros. Estos conceptos quedaron implícitamente
incluidos en la definición de la HLS que ya siguieron los estándares ISO 19600:2014,
ISO 37001:2016 y ahora ISO 37301:2021.
Es un concepto importante para un MSS de Tipo A (certificable), donde la acredi-
tación del nivel de cumplimiento de sus requisitos precisa un sustrato de calidad. Las
carencias en materia de información documentada no significan necesariamente que
el sistema de gestión
g estión de compliance no sea adecuado, pero dificultarán que un tercero
independiente emita una declaración de conformidad
con formidad respecto a su contenido, cuando
97
no se le pueda acreditar la concurrencia de requisitos .
II.3.11. Desempeño
Es un “resultado medible”.
Utilizan esta definición los capítulos 5 Liderazgo, 7 Apoyo y sob re todo, el 9 Evalua
y,, sobre Evaluación
ción
del desempeño, todos ellos en el contexto de la medición y el reporte del rendimiento del
sistema de gestión de compliance.
Es la misma definición que recoge la HLS y que también utilizaron los estándares
previos ISO 19600:2014 (definición 3.26) e ISO 37001:2016 (definición 3.16).
96 La necesidad de mantener infor

informació
maciónn ddocumen
ocumentada
tada no significa que deba conservarse todo
tipo de documentos, sino solo aquellos necesarios para acreditar la existencia, conocimiento y
aplicación efectiva de los requis
requisitos
itos que la precisan.
97 La imposibilidad de emitir una opinión profesional por carencias de infor
informació
maciónn docume
documentada
ntada
no equivale a una opinión adversa en cuanto al sis sistema
tema de
d e ges
gestió evaluado. Es más, determina-
tiónnlas
dos déficits de inf
informa
ormació
ciónn ddocu
ocument
mentada
ada pueden suplirse ante Administraciones (incluida
la de Justicia) con los medios de prueba admitidos en Derecho, aunque hayan impedido la
emisión de una opinión de con confor
formid
midad
ad .
Comentarios
Un sistema de gestión de compliance no es una finalidad en sí mismo, sino una herra-
mienta para alcanzar ciertos propósitos, incluyendo los trascendentes de establecer
o mantener una cultura de compliance que se traduzca en conductas adecuadas, según
apunta la Introduc
Introducción
ción del estándar ISO 37301:2021. Bajo esta premisa, medir el
desempeño del sistema de gestión se convierte en una actividad clave, hasta el punto de
dedicarle el capítulo 9 Evaluación del desempeño y sugerir múltiples fuentes de infor-
mación en el apartado A.9.1.2 Fu Fuentes
entes de opinión sobre el desempeño del compliance del
anexo A (informativo) Guía para el uso de este documento.
En cualquier caso, los parámetros de medición del desem
desempeño
peño, tanto del siste
sistema
ma de gesti
gestión
ón
en su conjunto como de cualquiera de sus componentes, pueden ser cuantitativos y
cualitativos. Estos últimos son especialmente valorados en la medida en que ayudan
a interpretar correctamente los datos facilitados.

Es la “actividad recurrente para mejorar el desempeño (3.11)”.
El estándar ISO 37301:2021 hace un uso u so constante de la definición, dado que es un
factor relevante para su funcionamiento como siste
sistema
ma de gesti
gestión
ón (véanse los comentarios
del capítulo I.4 El estándar ISO 37301:2021 como sistema de gestión, de este libro). Así,
la vemos plasmada en los capítulos 5 Liderazgo, 6 Planificación, 7 Apoyo, 9 Evaluación
del
10.1desempeño y 10 Mejora
Mejora continua, que .desarrolla
De hecho, el en este último
concepto desdecapítulo
un puntose de
pun to ubica
vistaeloperativo.
apartado
Es la misma definición que plantea la HLS y que incorporó el estándar ISO 37001:2016
(definición 3.24). El estándar ISO 19600:2014 (definición 3.27) se desvió ligera-
mente del tenor literal de la HLS, refiriéndose tanto a actividades como a proceso
procesoss
destinados a la mejora.
Comentarios
El término mej
mejora
ora cont
continu
inuaa se corresponde con un principio implícito de todo sist sistema
ema de
gestión
gestión ISO (véanse los comentarios al respecto en el apartado II.6.2.4 Pri Princi
ncipio
pio de mej
mejora
ora
contin
con tinua
ua, de este libro). Promueve el progreso positivo del des desemp
empeño
eño del sis
sistem
temaa de ges
gestió
tiónn,
de manera que incremente su efic eficacia
acia. No solo le permite ajustarse a las variaciones en
las circunstancias de la organi
organizació
zaciónn, sino que facilita introducir cambios selectivos en

compliance según
aquellos elementos que integran el sist

sistema
ema de gest
gestión
ión para disminuir la probabilidad de no
conform
conformida
idades
des o no cum
cumpli
plimien
mientos
tos de com
compli
plianc
ancee, o aumentar la capacidad para detectarlos
y reaccionar de la forma más temprana para minimizar sus consecuencias.
En última instancia, la mejora continua se asocia igualmente con el incremento pau-

latino de los umbrales de exigencia respecto a las conductas de quienes se vinculan
con la organización.
II.3.13. Eficacia
Es el “grado en el que se realizan las actividades planificadas y se logran los resultados
planificados”.
Esta definición, que se utiliza en la práctica totalidad
totali dad de los capítulos del estándar ISO
37301:2021, aparece directamente extraída de la HLS. Aunque, curiosamente, no la
incorporó la norma previa ISO 19600:2014, sí lo hizo el estándar ISO 37001:2016
en esos mismos términos (definición 3.9).
Comentarios
Los textos sobre compliance suelen referirse a la eficacia de los programas o medidas
a adoptar. No así sobre su “eficiencia”, que sería la ejecución de las actividades pla-
nificadas y la obtención de los resultados previstos con el menor volumen posible de
recursos. Es una aproximación de la que se alejan los estándares de compliance ISO,
por cuanto esa búsqueda de eficiencia puede perjudicar la eficacia de las actividades
desarrolladas y del sistema de gestión en su conjunto. Se considera una meta secundaria,
más relacionada con la ingeniería para la mejora de procesos que con el establecimiento
de requisitos o directrices de un sistema de gestión de compliance eficaz
eficaz.
II.3.14. Requisito
Es la “necesidad o expectativa establecida, generalmente implícita u obligatoria”.
Es una definición importante, especialmente en todo MSS de Tipo A (certificable),
que se emplea en prácticamente todos los capítulos del estándar ISO 37301:2021.
Su redacción coincide exactamente
exa ctamente con la de la HLS, que igualmente reflejó la norma
previa ISO 19600:2014 (definición 3.13). El estándar ISO 37001:2016 siguió una
aproximación distinta (definición 3.4), con una definición más corta remarcando
que el requisito tenía que estar fijado en algún lugar y ser obligatorio, evitando así
incluir necesidades o expectativas “generalmente implícitas” que podían ser difíciles
de identificar y analizar.
Comentarios
Los requisitos pueden venir establecidos en las obligaciones de compliance que afectan a
la organización (tanto las obligatorias como las asumidas voluntariamente) y también
en el propio sistema de gestión. No respetar las primeras generará no cumplimientos de
compliance, mientras que no observar lasl as segundas producirá normalmente no confor-
midades (véanse las diferencias entre conformidad/no conformidad y compliance / / no
cumplimiento de compliance que se comentan en el apartado I.5.3 Las no conformidades
conformidades
y los no cumplimientos de compliance, de este libro).
II.3.15. Conformida
Conformidad
d
Es el “cumplimiento de un requisito (3.14)”.
Los conceptos de confor
conformidad
midad y no confor
conformidad
midad aparecen en el capítulo 7 Apoyo y
y,,
sobre todo, en los capítulos 9 Evaluación del desempeño y 10 Mejora.
Es la misma decisión de la HLS, que también incorporó el estándar ISO 37001:2016

(definición 3.21), pero no así ISO 19600:2014, que precisaba que la conformida
conformidadd
se refería exclusivamente a desatender un requisito del sistema de ggestión
estión (definición
3.32). No obstante, la interpretación de esta definición sigue siendo la misma, según
explico seguidamente.
Comentarios
El estándar ISO 19600:2014 añadió a los conceptos tradicionales de la HLS de
conformidad/no conformidad, los de cumplimiento/no cumplimiento de compliance. Los
primeros hacían referencia a requisitos del sistema de gestión, mientras que los segun-
dos, a las obligaciones de compliance. Aunque la diferencia entre estas categorías debe
analizarse según el contexto, en líneas generales, las primeras aplican sobre requisitos
fijados internamente en el contexto del sist
sistema
ema de gest
gestión
ión (asistir a una sesión de

compliance según
formación, por ejemplo), mientras que los segundos se relacionan con cuestiones
procedimentales o sustantivas de mayor calado, que derivan de las obliga
obligacione
cioness de
compliance (véanse los comentarios en el apartado I.5.3 Las no conformidades y los no
no
cumplimientos
cumplimiento
el camino ques dde
e ccompliance
ompliance
inició , de este ISO
su antecedente libro). El estándardesmarcándose
19600:2014, ISO 37301:2021de lasigue
HLSasíy
rubricando esta diferencia tan típica que no recogen otros sistemas de gestión, incluido
el estándar ISO 37001:2016.
II.3.16. No conformidad
Es el “incumplimiento de un requisito (3.14)”.
Se utilizan los conceptos de conformida
conformidadd y no conformid
conformidad
ad en los capítulos 9 Evaluac
Evaluación
ión
del desempeño y 10 Mejora. Este último contempla las no conformidades como circuns-
tancias no solo a corregir, sino también, a analizar para mejorar el sistema de gestión
gestió n
y evitar que se reproduzcan.
Es la misma decisión de la HLS, incorporada también por el estándar ISO
37001:2016 (definición 3.22). Sin embargo, el estándar ISO 19600:2014 vincu-
laba la no confor
co nformida
midadd a dejar de satisfacer un requ
requisi
isito
to del sis
sistema
tema ddee ges
gestión
tión (véase
el apartado I.5.3 Las no cconfo
onformid
rmidades
ades y lo
loss no cumpli
cumplimien
mientos
tos de compl
complianc
iancee, de este
libro). En cualquier caso, este sigue siendo el sentido de la definición actual, según
se explica a continuación.
Comentarios
Como se ha comentado anteriormente al tratar la definición de confo conformida
rmidadd, el estándar
ISO 19600:2014 añade a los conceptos clásicos de conformidad/no conformidad , los
de cumplimiento/no cumplimiento de compliance. El estándar ISO 37301:2021 sigue
esta misma línea: normalmente, las no conformidades se vinculan con exigencias del
sistema de gestión (suscribir una declaración periódica de conformidad con una política,
por ejemplo), mientras que los no cumplimien
cumplimientos
tos ddee com
compliance
pliance entrañan la vulneración
de las obligaciones de compliance, que revisten mayor gravedad. Esto permite distin-
guir entre las tipologías de las irregularidades y ayuda a moderar la reacción ante las
mismas por su distinto grado de relevancia.
II.3.17. Acción correctiva

Es la “acción para eliminar la causa de una no conformidad (3.16) y evitar que vuelva
a ocurrir”. El concepto se aplica igualmente en el ámbito de los no cumplimientos de
compliance, como se desprende inequívocamente de lo establecido en el apartado 10.2
No conformidades y acciones correctivas.
Es una definición de uso limitado en el estándar ISO 37301:2021
373 01:2021 que se circunscribe
a los capítulos 5 Liderazgo , 9 Evaluación del de
desempeño
sempeño y 10 Mejora. Tiene especial
protagonismo en el apartado 10.2 No conformidades y acciones correctivas.
Reproduce el texto de la HLS, como hizo el estándar ISO 37001:2016 (definición
3.23). Sin embargo, el estándar previo ISO 19600:2014 (definición 3.35) vinculó
expresamente la acció
acciónn ccorrec
orrectiva
tiva no solo con no confo
conformidad
rmidades
es, sino también, con
no cumplimientos
definido de compliance
ni establecido , debido
en la HLS a la
(véase el utilización de este
apartado I.5.3 Lasúltimo parámetroy no
no conformidades
co nformidades los
los
no cumplimientos de compliance, de este libro). La interpretación de la definición en
el estándar ISO 37301:2021 sigue esta línea, no por el tenor literal de su redacción
–coincidente ahora con la HLS– sino por indicación de su única nonota
ta aclaratoria.
Comentarios
La acción correctiva
correctiva no equivale simplemente a sancionar. Aunque las capacidades de
penalización son un factor de prevención general, el concepto se aplica a cualquier
medida que:
provocó la no con

• Elimina el motivo que provocó confor
formid
midad
ad o el no cum
cumplplimi
imient
entoo de com
compl
plian
iance.
ce.
• Previene verdad, la acción correctiva
Previene su reiteración. En verdad, c orrectiva puede consistir en una
medida o varias, de naturaleza variada, siempre idóneas a tales efectos. En el
apartado A.10.2 No conformi
conformidades
dades y acciones correctiv
correctivas
as del anexo A (informativo)
Guía para el uso de este documento, relaciona diferentes ejemplos.
II.3.18. Auditoría
Es un “ proceso (3.8) sistemático e independiente para obtener las evidencias y eva-
luarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los
criterios de auditoría”.

compliance según
Su empleo se limita al capítulo 9 Evaluación del desempeño, muy especialmente en los

apartados 9.2 Auditoría interna y 9.3 Revisión por la dirección.
La definición es coincidente con la HLS, que también plasmaron los estándares
estándares previos
ISO 19600:2014 (definición 3.31) e ISO 37001:2017 (definición 3.20), aunque
existen variaciones en cuanto a las notas aclaratorias introducidas por cada texto98.
Comentarios
Las características de una actividad, para que sea considerada como audi
auditorí
toríaa, se centran
en su sistematicidad, la independencia de quien realiza dicho trabajo y la documenta-
ción del proceso. Una de las notas que incluye la definición hace referencia al estándar
ISO 19011:2018 de directrices para la auditoría de los sistemas de gestión, donde
hallamos información útil para comprender estos parámetros. También lo indicado
en el apartado 9.2 Auditoría interna resulta de utilidad para ello.
Una auditor
auditoría
ía puede desarrollarse tanto por la propia organi
organización
zación como por una
organización externa, siempre que reúna las características indicadas.
II.3.19. Medición
Es el “ proceso (3.8) para determinar un valor”.
Es una definición de uso limitado, que aparece en los capítulos 5 Liderazgo, 6 Plani-
ficación y, especialmente en el capítulo 9 Evaluación del desempeño, donde se ubica el
apartado 9.1 Seguimiento, medición, análisis y evaluación.
Es la misma definición que figura en la HLS y que también emplearon los estándare
estándaress
previos ISO 19600:2014 (definición 3.30) e ISO 37001:2016 (definición 3.19).
98 Mientras que el estándar ISO 37001:2016 se limitó

li mitó a recoger las tres mismas notas aclaratorias
de la definición de la HLS, el estándar ISO 19600:2014 no mencionaba que una auditoría interna
podía ser realizada por la propia organi
organizaci
zación
ón o una parte externa y se adentraba, sin embargo,
en comentar la independencia del auditor
auditor.. El estándar ISO 37301:2021 recoge el contenido de
todas esas notas (tanto de HLS como del estándar previo ISO 19600:2014), convirtiéndose en
la definición con más contenido no normativo (aclaratorio) en los estándares sobre compl
complianc
iancee
publicados hasta la fecha.
Comentarios
Es difícil mejorar aquellos aspectos que no se miden. Es más, los resultados que
arroja una medición determinan una tendencia cuando son comparados con medicio-
nes previas. Por
Por ello, las actividades de medición son tan importantes para un sistema
de gestión
gestió n, que no solo quiere adaptarse a las circunstancias de la organización, sino
que también aspira a mejorar continuamente (véase el apartado I.6.2.4 Principio de de
mejora continua, de este libro). La medición va normalmente unida a indicadores y
otros elementos que reflejan el valor o resultado de determinada acción.
II.3.20. Seguimiento
Es la “determinación del estado de un sistema, un proceso (3.8) o una actividad”.
Esta definición se emplea en los capítulos 5 Liderazgo, 6 Planificación, 8 Operación y
9 Evaluación del desempeño. Su protagonismo en este último capítulo es especialmente
relevante, donde se ubica el apartado 9.1 Seguimiento, medición, análisis y evaluación.
Se trata de una definición coincidente con la que figura en la HLS y que se plasmó
también los estándares previos ISO 19600:2014 (definición 3.29, curiosamente,
esta definición incorporaba una nota adicional a la de la HLS, subrayando que el
seguimiento
seguimie nto no era una actividad puntual sino continuada. Esta nota no se incorporó
en la definición del estándar ISO 37301:2021) ni tampoco se incluyó en la ISO
37001:2016 (definición 3.18).
Comentarios
El término seguimien
seguimientoto es la traducción al español del vocablo inglés “ monitori
monitoring
ng”, que
suele transcribirse comúnmente con los anglicismos “monitorizar” o “monitorear".
En el fondo, es mantenerse informado acerca del estatus de una determinada acción.
Es una actividad que se desarrolla de forma continuada, para poder actuar con cele-
ridad ante desviaciones indeseadas. Por tanto, desarrollar un adecuado seguimiento
de procesos y actividades relacionadas con el sistema de gestión de compliance es clave
para reaccionar de manera temprana y también, para adaptarlo a las circunstancias
de la organiz
organización
ación , como un modelo “vivo” (véase el capítulo I.4 El estándar
e stándar ISO
ISO
37301:2021 como sistema de gestión, de este libro).

compliance según
II.3.21. Órgano de gobierno

Es la “persona o grupo de personas que tienen la última responsabilidad y autoridad
en las actividades, gobierno y políticas de una organización (3.1) ante quienes la alta
dirección (3.5) informa rinde cuentas”.
Se emplea esta definición en los capítulos 5 Lid Lidera
erazgo
zgo , 8 Operación y 9 Eva Evalua-
lua-
ci
ción
ón de
dell de
dese
sempe
mpeñoño. No obstante, se concentra su protagonismo en el indicado
capítulo 5 Lid
Lidera
erazgo
zgo , donde se encuadran los apartados 5.1.1 Órgano de gobierno
y alt
altaa dir
direcc
ección
ión (dentro del apartado 5.1 Lid
Lidera
erazgo
zgo y com
comprom
promiso
iso ) y 5.3.1 Órgano
de gob
gobier
ierno
no y alta dirdirecc
ección
ión (dentro del apartado 5.3 Rol
Roles,
es, res
respons
ponsabi
abilid
lidade
adess y au-
toridades). No obstante, también tiene atribuciones destacadas en el capítulo 9
Evaluac
Eva luación
ión del des
desemp
empeñoeño.
Estasentido
un definición no aparece
amplio, en la englobaría
que también HLS, que emplea
al órganoel de
concepto
gobiernode alta
. Es unadirección
dirdefinición
ección en
que introdujo primero el estándar ISO 19600:2014 (definición 3.4) y que utilizó
después la norma ISO 37001:2016 (definición 3.7). El estándar ISO 37301:2021
toma la definición de este último texto, si bien la formula en término de “persona o
grupo de personas” en lugar de limitarse a un “grupo u órgano”.
Comentarios
La definición de órg
órgano
ano de gob
gobier
ierno
no es típica de los estándares de com complia
pliance
nce , sin
proceder de la HLS. Su necesidad nace de considerar que la máxima gestión en
las organ
organizacio
izaciones
nes puede estar distribuida en más de un órgano: existiendo quienes
dirigen y controlan la organi
organización
zación (definición de alta direcc
d irección
ión), concurre además
un órgano superior al que informan y frente al que rinden cuentas ( órgano de go-
bierno ), dotado de una orientación más estratégica. En este sentido, es el máximo
órgano de gestión social donde termina la jerarquía de la organ organizació
izaciónn en materia
99
de gestión social .
En la medida en que órgano de gobierno y alta dirección pueden ser colectivos distin-
tos desde una perspectiva no solo funcional, sino también jurídica, el estándar ISO
37301:2021 ha mantenido la diferencia. No obstante, su capítulo 1 Objeto y campo
de aplicación
a plicación señala que los requisitos aplicables al órgano de ggobierno
obierno aplicarán tam-
99 Solamente sometido entonces a las decisiones de la junta general de partícipes, socios, ac-
cionistas o equivalentes, que no constituye órganos de gestión social, sino de representación
de la propiedad.
bién a la alta dirección en organizaciones carentes de esa distinción funcional (en este

mismo sentido apunta la nota 1 de la definición). Normalmente, en organizaciones
grandes implicará asignar los requisitos a cada colectivo según distingue el estándar,
mientras que en las medianas y pequeñas es probable que se proyecten sobre una
misma persona o grupo.
II.3.22. Personal
Son los “individuos en una relación reconocida como laboral en la legislación o
práctica nacional, o en cualquier relación contractual cuya actividad dependa de la
organización (3.1)".
Es una definición importante, por cuanto bastantes req requis
uisito
itoss del estándar ISO
37301:2021 se proyectan sobre este colectivo deliberadamente amplio de personas.
cita da en los capítulos 5 Liderazgo , 7 Apoyo y 8 Operación. En todos ellos
Aparece citada
juega un papel relevante.
El término no figura en la HLS, siendo una categoría introducida por los estándares
previos ISO 19600:2014 (definición 3.5 Empleado) e ISO 37001:2016 (definición
3.25 Personal
Personal). No obstante, ninguna de ambas definiciones es la que ahora acoge el
estándar ISO 37301:2021, que viene a realizar una fusión de sus contenidos.
Comentarios
Su norma antecesora, el estándar ISO 19600:2014, empleaba el término “em-
pleado” en lugar de “ per
person
sonal
al ”, que era un concepto con marcada connotación
laboral. De este modo, la laboralidad se convertía en un condicionante respecto a
la aplicación de ciertas prácticas o requi
requisitos
sitos . El estándar ISO 37001:2016 detectó
d etectó
los inconvenientes de este enfoque, que excluían de la aplicación de ciertos requi-
sitoss a personas integradas en la orga
sito organizac
nización
ión bajo otras formas jurídicas. Por eso
realizó una definición eminentemente práctica de perso personal
nal, abarcando a directores,
directores,
funcionarios, empleados o trabajadores temporales y voluntarios de la organizac organización
ión.
Sin embargo, esta aproximación casuística puede seguir excluyendo categorías no
expresamente citadas.
Debido a lo anterior,
anterior, el estándar ISO 37301:2021 opta por considerar empleados a
aquellos sujetos cuya actividad dependa de la organización, en el sentido en que estén
sometidos a sus instrucciones y sin la autonomía propia de las terceras partes. A tales

compliance según
efectos señala que la naturaleza del vínculo jurídico puede ser,

ser, tanto una relación de
trabajo (laboral) como de cualquier otro tipo (voluntariado y otras relaciones sujetas
a normas especiales, o incluso, mercantiles).
mercantiles). Respecto al estándar ISO 19600:2014
19600:2 014
supone unade
al tratarse ampliación de los amplia
una definición supuestos de aplicación
y con de requisitos
marcado carácter . En cualquier
residual, caso,
los requisi
requisitos
tos
referidos a ella aplicarán igualmente a los integrantes del órgano de gobierno y la alta
dirección100. Es la forma de asegurar que determinadas cautelas de compl
compliance
iance, incluidas
las relativas a la incorporación o promoción de personas, indicadas en el apartado
7.2.2 Proceso de empleo, aplican a todos.
Aquellos colectivos que no quedan encuadrados
encuadrados en la categoría de personal, solo cabrá
categoría de
considerarlos como terceras partes. Proyectando actividades de control sobre ambos
conjuntos, se cierra el círculo de debida diligencia sobre los sujetos susceptibles de
exponer a la organización.
II.3.23. Función de compliance

Es la “persona o grupo de personas con responsabilidad y autoridad para la operación
del sistema de gestión (3.4) del compliance (3.26)”.
El estándar ISO 37301:2021 utiliza esta definición en los capítulos 5 Liderazgo y 9
Evaluación
Evalu ación del desemp
desempeño
eño. En el primero
primero destaca el apartado 5.3.2 Funció
Funciónn de compl
compliance
iance,
que indica sus actividades.
Evidentemente, esta definición no procede de la HLS, encontrando sus antecedentes en
el estándar ISO 19600:2014 (definición 3.6) y también en la norma ISO 37001:2016
370 01:2016
(definición 3.8) (en este último texto, en términos de “ Función de
d e cumplimiento
antisoborno”). El estándar ISO 37301:2021 se acerca más a esta última definición,
por los motivos que se explican a continuación.
100 Nótese que la definición de personal supone una subordinación a la organización. Los miembros

del órgano de
d e gobie
gobierno y de la alta direc ción , ínvidamente considerados, están igualmente
ig ualmente sujetos
a las decisiones derno
la orga
organiz
nizaci ónd irección
ación , emanadas a través de los órganos en los que se integran,
pero que no se confunden con sus opiniones personales o en el sentido individual de voto en
las decisiones orgánicas.
las decisiones orgánicas.

Comentarios
El estándar ISO 19600:2014 señalaba que la función de compliance es la que tenía
responsabilidades en la gestión de compliance. Una definición tan corta y amplia, era
susceptible de interpretaciones variadas, incluyendo la atribución de responsabilidades
legales. Por
Por ese motivo, el estándar ISO 37001:2014 concretó en su definición que
las responsabilidades de la función se centraban en “operar” el sist sistema
ema de gest
gestión
ión.
Es la misma aproximación que adopta el estándar ISO 37301:2021, coherente
con lo indicado en el apartado 5.3.2 Función de complian
c ompliance
ce cuando circunscribe su
responsabilidad a operar el siste
sistema
ma de gest
gestión
ión de
d e compli
compliance
ance a través del desarrollo
de las actividades que indica101. No se le atribuyen capacidades decisorias, que co-
rresponden a las instancias de gobierno social, especialmente al órgan órganoo de gobier
gobiernono
y a la alta direcci
di rección
ón.
Para que una organización disponga de función de compliance es preciso que:
• Le haya encomendado operación del sistema de gestión.
encomendado la operación
• Disponga de la autoridad para
para hacerlo.
hacerlo.
En ausencia de cualquiera de ambos componentes estaremos frente a un órgano o
función que no puede considerarse técnicamente como funció funciónn ddee ccomplian
ompliance
ce. En
tales casos, el órgano de gobier
gobierno
no y la alta direc
dirección
ción habrán designado un órgano o
función inapropiados para acometer con éxito tareas de compliance, especialmente las
relacionadas en el apartado 5.3.2 F Función
unción de compliance. Son, pues, parámetros clave
para legitimar una eventual traslación de responsabilidades legales por operación
negligente del modelo102.
diferencia de estándares antiguos103 e incluso de algunos textos actuales, los están-
A diferencia
dares modernos
no al “oficial de compliance
de compli
compliance quefórmula
ance”. Esta publicapermite
ISO se una
refieren
refier la función de
en aflexibilidad
gran compliance
orgánica, y
muy
necesaria para facilitar la aplicación del principio de proporcionalidad (véase el apartado
I.6.1.2 Principio de proporcionalidad, de este libro). Al tratarse de una “función” y no
de un “órgano”, puede atribuirse a órganos
ó rganos ya existentes o de nueva creación; tanto
101 La “responsabilidad” de la funci

función
ón ddee ccompli
ompliance
ance pivota en la operación correcta del sist
sistema
ema
degesti
gestión
ón y no guarda relación directa con la existencia de no confor
c onformidad
midades
es o no cumpli
c umplimient
mientosos
de complia
co mpliance.
nce.
102 Lasresponsabilidades legales por una operación negligente del sistema
sis tema ddee ges
gestió
tiónn pueden no
corresponder a la fun
funció
ciónn de ccomp
omplia
liance
nce cuando no disponía del perfil ni de los condicionantes
para desarrollar correctamente sus cometidos.
103 Los estándares AS 3806:2006 y BS 10500:2011, precursores de los estándares ISO
19600:2014 e ISO 37001:2016, respectivamente, mencionaban la figura del oficial de cum-

plimiento.


compliance según
unipersonales como colegiados. En cualquier caso, deberán concurrir los parámetros

exigidos tanto por la definición como por el resto del estándar.
estándar. No obstante, la única
nota a la definición sugiere la asignación de una persona para la supervisión general
del sistemacolegiada,
actuación de gestión de compliance
la función . Se quiere: evitar que, por emplear a un órgano de
de compliance
Pierda visibilidad en el seno de la organización.
• Pierda
• Se diluyan sus cometidos entre sus
sus miembros, sin una dir
dirección
ección clara.
Por consiguiente, aun cuando exista un Comité de compliance o equivalente, es reco-
mendable que en su seno se identifique quién lo coordinará y representará.
II.3.24. Riesgo de compliance

Es la “probabilidad de ocurrencia y las consecuencias del no cumplimiento de com-
pliance
pliance (3.27) respecto a las oblig
obligacion
aciones
es de compliance
compliance (3.25) de una organ
organizaci
ización
ón (3.1)”.
Puesto que el estándar ISO 37301:2021 sigue un enfoque basado en el riesgo (véase
el apartado I.6.2.2 Enfoque basado en el rriesgo
iesgo, de este libro), se comprende el uso
intensivo de esta definición, que aparece en los capítulos 4 Contexto de la organiza-
ción, 5 Liderazgo, 6 Planificación, 7 Apoyo y 8 Operación. Tiene especial relevancia lo
indicando en el apartado 4.6 Evaluación de los riesgos de compliance.
Al tratarse
limita de una
un
a definir a especialidad
especiali
riesgo . Tampoco riesgo, este
dad decoincide que término no figura
la definición en la HLS,
que recogió que se
el estándar
ISO 19600:2014 (definición 3.12). Por otra parte, el estándar ISO 37001:2016 no
incorporó una definición equivalente (“riesgo de soborno”); aun siendo un concepto
utilizado en su texto, cabe inferir su significado de la combinación de los términos
definidos “riesgo” y “soborno”. Por consiguiente, la definición de riesgo de compliance
que incorpora el estándar ISO 37301:2021 no arranca de un texto previo.
Comentarios
Desde una perspectiva lógica, tendría más sentido referirse a los riesgos de incumpli-
miento que a los de compliance –que es cumplir con las obligaciones–. Sin embargo, el
concepto de “ riesgo de complian
compliance
ce” está ampliamente aceptado en el ámbito profesional
y, por eso, se utiliza esta definición. Lo contrario o
obligaría
bligaría a referirse a la evaluación

de riesgos de no cumplimiento de compliance y a otras muchas adaptaciones en la termi-

nología frecuente que recoge el estándar ISO 37301:2021.
La definición interpreta el riesgo de compliance como el resultado de su medición, esto
es, la probabilidad de ocurrencia y las consecuencias del no cumplimien
cumplimientoto ddee com
compliance
pliance
(referido a las obligaciones de compliance). El apartado A.4.6 Evaluación de los riesgos
riesgo s
de compliance del anexo A (informativo) Guía para el uso de este documento, no solo
habla de estos conceptos, sino también del riesgo inherente y residual. El estándar
ISO 37301:2021 ha evitado deliberadamente introducir el concepto de “apetito de
riesgo”, pues evocaría la posibilidad de que la organización decida qué obligaciones de
compliance cumplir y cuáles no, o hasta qué grado hacerlo (véase el apartado II.4.6 II.4.6
Evaluación de los riesgos de compliance
c ompliance, de este libro). Esto chocaría frontalmente con
la propia definición de compliance, que explícitamente se refiere a observar “todas”
las obligaciones de compliance.
Por lo demás, el riesgo de compliance:
• Solo se refiere a los no cumplimientos de compliance, no a las no conformidades.
• Puesto que las obligaciones de complia
compliance
nce se componen de aquellas cuyo cum-
plimiento es obligatorio y también las de carácter voluntario, la posibilidad de
contravenir cualquiera de ellas es susceptible de generar un riesgo encuadrable
en esta definición.

Son los “ requi
requisito
sitoss (3.14) que una organización (3.1) tiene obligatoriamente que
cumplir,, así como aquellos que una organización elige voluntariamente cumplir”.
cumplir
En la medida que otras definiciones incorporan en su redacción el término obligacio-
nes de compliance y que muchos requisitos guardan relación directa con ellas, es una
definición ampliamente utilizada en el estándar, en los capítulos 4 Contexto de la
organización , 5 Liderazgo, 6 Planificación , 7 Apoyo y 8 Operación. Es especialmente
interesante lo indicado en el apartado 4.5. Obligaciones de compliance, que supone la
concreción de las mismas como parte del proceso para disponer de un sistema de gestgestión
ión
de compliance adecuado para cada organización.
Esta definición no figura en la HLS, al ser un término muy vinculado con los sistemas
de gestión de compliance. Tampoco
Tampoco recurrió a ella la norma ISO 37001:2016,
37001:201 6, que se
refería a obligaciones u obligaciones legales en su acepción común.


compliance según
El origen de la definición lo hallamos en el estándar previo ISO 19600:2014, indi-

cando que las obligaciones de com
compliance
pliance eran el conjunto formado tanto los “requisitos
de compliance” como los “compromisos de compliance” que afectan a la organización,
siendo los primeros las normas que esta debe cumplir y los segundos aquellos que
elige voluntariamente cumplir. Ambos eran términos definidos en dicho estándar.
El estándar ISO 37301:2021 sigue esta línea, pero incorporando directamente esta
aproximación en la propia definición de obligaciones de compliance, en un ejercicio de
simplificación. Al figurar conceptualmente en ella, desaparecen ahora los términos
definidos “ requisitos de
de complian
compliance
ce” y “compromisos de complian
compliance
ce”. El apartado A.4.5
Obligaciones de compliance del anexo A (informativo) Guía para el uso de este documento
proporciona ejemplos que encajan en ambas tipologías.
Comentarios
No cabe duda
duda de la importanci
importanciaa de esta definici
definición,
ón, que captura
captura la acepción
acepción moderna
moderna
del concepto de “ compl
compliance
iance”, que actualmente se proyecta sobre las normas que tienen
carácter obligatorio, pero también sobre aquellas que las organi organizacione
zacioness eligen volunta-
cumplir. A través de estas últimas, penetran en el compl
riamente cumplir. compliance
iance, entre otros, una
gran cantidad de contenidos de carácter ético que trascienden los mínimos legales. En
este sentido, los requis
requisitos
itos éticos a los que voluntariamente someten las organ
v oluntariamente se someten organizacio
izaciones
nes
constituyen una parte de sus obliga
obligaciones
ciones de ccompli
ompliance
ance. Por estar comprendidos en esta
definición, el estándar ISO 37301:2021 no los cita explícitamente104.
Esta concepción de compliance supera la visión tradicional que lo proyectaba
p royectaba exclusi-
exclusi-
vamente sobre las normas de carácter obligado o, incluso, sobre algunas de ellas en
particular (las reguladoras de actividades o mercados, por ejemplo).
II.3.26. Compliance
Es “el cumplimiento de todas las obligaciones de compliance (3.25) de la organización
(3.1)”.
Lógicamente, en una norma sobre compli
compliance
ance , está muy extendido el uso de esta
definición, que se halla presente en la práctica totalidad de los capítulos del estándar
104 La
escasez de referencias a la ética en el estándar ISO 37301:2021 se debe a que, técnica-
mente, los parámetros éticos a seguir se incorporan al sistema de gestión por vía de las obliga
obligaciones
ciones
de complia
co mpliance
nce sobre las que se proyecta, especialmente las asumidas voluntariamente.

ISO 37301:2021. En ocasiones,

ocasion es, es un término integrado dentro de otras definiciones
(por ejemplo, función de compliance, riesgo de compliance, obligaciones de compliance,
o cultura de compliance), o utilizado de manera instrumental en diferentes apartados
de su texto (por ejemplo, objetivos de compliance, responsabilidades de compliance,
gobierno de compl
compliance
iance, desempeño de compl
compliance
iance, evaluación de riesgos de compl
compliance
iance,
reportes de compliance, preocupaciones de compliance, incidentes relacionados con el
compliance, formación de compliance, toma de conciencia en compliance, información
de compliance o indicadores de compliance).
No siendo una definición
defin ición de la HLS, su redacción
redacci ón procede y coincide
coin cide con la del
estándar previo ISO 19600:2014 (definición 3.17). No se incluyó en el estándar
ISO 37001:2016, aunque el vocablo se empleaba abundantemente en su cuerpo, en
muchas ocasiones en su acepción coloquial.
Comentarios
En el contexto de un sistema de gestión, “el cumplimiento de todas las obligaciones de
compliance” no es el mero resultado del azar, volunta d consciente de la orga-
azar, sino de la voluntad
nización. En línea con lo apuntado en la Introducción del estándar ISO 37301:2021,
compliance sería el resultado de un proceso constante impulsado y mantenido por la
organización. Lo contrario nos llevaría a interpretarlo como un resultado puntual o
eventualmente casual, independiente de cómo se ha alcanzado.
Respecto al tenor literal de la definición, nótense dos aspectos relevantes:
(i) Se refiere a las obligaciones de ccompliance
ompliance que afectan a la organización ,
según vendrán concretadas por aplicación de las secciones 4.3 Determi-
nación
de del alcance
compliance del sistema delas
, comprendiendo gestión del compliance
de carácter y 4.5.
obligatorio Obligaciones
y las asumidas
voluntariamente.
(ii) La acción de cumplir se refiere
refiere a “todo” ese conjunto, sin que, por tanto,
tanto,
la organi
organización
zación pueda decidir cuáles obedecer y cuáles no, o el grado
de hacerlo (véanse los apartados II.3.24 Riesgo de complianc
compliancee y II.4.6
II.4.6
Evaluación de los riesgos de compliance, ambos de este libro).
Podría pensarse que el término definido no cumplimiento
cumpli miento de compliance significa lo
contrario del que estamos tratando. Sin embargo, como se explicará más adelante, la
definición de no cump
cumplimie
limiento
nto de compl
compliance
iance se asocia a cualquier oblig
obligación
ación de compl
compliance
iance
y no a “todas” ellas, como se indica ahora.
Las definiciones de complian
compliance
ce y no cumpl
cumplimiento
imiento de complian
compliance
ce fueron ya características
del estándar ISO 19600:2014 y vuelven a serlo ahora en el estándar ISO 37301:2021,
co mún entre conformidad y no conformidad típica en
trascendiendo de la clasificación común


compliance según
los sistemas de gestión ISO que adoptó el estándar ISO 37001:2016 (en relación
con las diferencias entre los conceptos de conformidad y no conformidad, por un lado
y de compliance y no cumplimiento de compliance
compliance, por el otro, véase el apartado I.5.3
I.5.3
Las no conformidades y los no cumplimientos de compliance, de este libro).
II.3.27. No cumplimiento de compliance

Es “incumplimiento de las obligaciones de compliance (3.26)”.
Es una definición de uso frecuente, que aparece en los capítulos 5 Liderazgo, 7 Apoyo,
8 Operación, 9 Evaluac
Evaluación
ión del desempeñ
desempeñoo y 10 Mejora. Este último, especifica la reacción
de la organización cuando se producen.
La definición no procede de la HLS ni coincide
co incide exactamente con la del estándar previo
ISO 19600:2014 (definición 3.18). Se S e decía entonces que era el incumplimiento de
una obligación de compliance (en singular) y añadía además una nota subrayando que
podía ser un caso aislado o varios y ser el resultado o no de una no conformidad (en
relación con las diferencias entre los conceptos de conformidad y no no conformidad, por
un lado y compliance y no
no cumplimiento de compliance, por el otro, véase el apartado
I.5.3 Las no co
conformidades
nformidades y los no cumplimie
cumplimientos
ntos de compliance, de este libro). Estos
matices no figuran ahora en el estándar ISO 37301:2021, aunque solo cabe interpretar
interpretar
la definición en ese mismo sentido. El estándar ISO 373001:2016 no incluyó esta
definición. Recordemos que ni la HLS ni este último estándar diferencian entre no
conformidades y no cumplimientos de co compliance
mpliance, aglutinando este segundo concepto
dentro del primero.
Comentarios
La definición de no cumplimiento
cumplimiento de compliance está vinculada con el concepto de obli-
gaciones de compliance, que son las resultantes de aplicar lo indicado en los apartados
4.3 Determinación del alcance
alcance del sistema de gestión del compliance y 4.5 Obligaciones de
compliance. En este contexto, se incluirán no solo aquellas obligaciones de compliance
que la organización debe cumplir, sino también, aquellas que elige voluntariamente
cumplir.
El término no cumplimient
cumplimientoo de complian
compliance
ce no es realmente el antónimo de compl
compliance
iance,
dado que este último se refiere a “todas” las obliga
obligaciones
ciones de ccompli
ompliance
ance que afectan a la
organ
organiza
izació
ciónn, mientras que el primero puede darse ante el quebranto de cualquiera
cualquiera de ellas.

II.3.28. Cultura de compliance

Son los “valores, ética, creencias y conductas (3.29) que existen en una organización
(3.1) y que interactúan con las estructuras y sistemas de control de la organización
para producir normas de comportamiento que conducen al compliance (3.26)”.
Es una definición relevante, dada la importancia que el estándar ISO 37301:2021
otorga a las cuestiones culturales, como manifiesta claramente su Introducc
Introducción
ión. Se
emplea en los capítulos 4 Contexto de la organización, 5 Liderazgo y 7 Apoyo. Destaca
el apartado 5.1.2 Cultura de compliance, subrayando la importancia de la actitud de
los líderes de la organización para promover dicha cultura.
La definición no procede de la HLS, sino que viene sustancialmente heredada del
estándar ISO 19600:2014 (definición 3.19), incorporando ahora en su redacción el
concepto de “ conducta”, que es otro término definido. El estándar ISO 37001:2016
no utiliza la definición de cultura de compliance, aunque ocasionalmente emplea los
vocablos “cultura” o “cultura de integridad”.
Comentarios
Aunque la aparición del término definido cultura de compliance en el estándar ISO
37301:2021 es limitada, tiene un gran impacto en la norma. De hecho, la mayoría de
textos modernos sobre com
compli
plianc
ancee inciden en la importancia de cultivar una cultura corpo-
rativa adecuada para evitar cond
conducta
uctass inapropiadas105. En líneas generales, las tendencias
en compl
compliance
iance tienden más a cultivar la integridad de las personas que a limitarse a su
control (véase el
de este libro). El estándar
estándar
apartado I.5.1resultan
Normalmente, ISO 37
enfoques 37301:20
301:2021
21como
híbridos, y llaa cul
cultura
es tura ddee comp
el caso compliance
liance,
del propio
estándar ISO 37301:2021, que combina elementos claramente orientados a promover
una cultura ética y de
d e respeto a las normas, con los más clásicos basados en el control.
La cultura de compliance no solo se asocia con valores o parámetros éticos sino, espe-
cialmente, a las conductas en que derivan, esto es, los comportamientos o prácticas
que impactan en los diferentes ámbitos en que se desenvuelve la organiza
organización
ción . La
inclusión del término conducta en la definición de cultura de compliance refuerza el
mensaje de que los aspectos culturales no deben quedarse en la esfera teórica, sino
traducirse en comportamientos correctos.
105 Así, por ejemplo, en US Sentencing Commission,

of Organi
Organizati
zations Guidelines
ons , p. 517, noviembre de 2018. El párrafo Manual,
a) del Chapter
apartado 8B2.1Eight-Sentencing
señala que un
effect
eff ective
ive comp
complia
liance
nce and eth
ethics
ics pro
program
gram debe promover una cultura organizativa que facilite la
conducta ética y el cumplimiento de la Ley.
Ley.


compliance según
II.3.29. Conducta
Son los “comportamientos y prácticas que repercuten en los resultados para los clien-
tes, empleados, proveedores, mercados y comunidades”.
Aunque es una definición de uso extremadamente limitado, que q ue se circunscribe al
apartado 5.1.2 Cultura de compliance del estándar ISO 37301:2021, tiene una impor-
tancia capital debida a su singularidad: es la primera vez que se introduce “ conducta”
como término definido en un estándar ISO sobre compliance.
De acuerdo con lo anterior
anterior,, no es una definición proveniente de la HLS ni de ningún
estándar antecedente publicado por ISO en materia de compliance.
Comentarios
Que se hable expresamente de la conducta en un estándar de co compl
mplia
iance
nce invita
a considerar aquellos factores que la condicionan. Por tanto, abre las puertas a
integrar en la gestión del complia
compliance
nce cuestiones relacionadas con las ciencias de la
conducta humana. Los textos previos de complia
compliance
nce ya habían dado algunos pasos
en este sentido, principalmente al hilo de los proc
procedim
edimient
ientos
os de debida diligencia
sobre personas llamadas a ocupar posiciones de riesg
riesgoo y de las que se conoce o se
podría haber conocido la inconsistencia de su bagaje conductual para asumir el
rol esperado de ellos. Es una cautela también contemplada en el apartado 7.2.2
Procesoo de empleo del estándar ISO 37301:2021, pero que no figuraba en el anterior
Proces
estándar ISO 19600:2014.
En cualquier caso, este término produce un efecto relevante en la definición de cul-
tura de compliance, donde aparece. En este sentido, los aspectos culturales no solo
son programáticos, debiendo traducirse en comportamientos o prácticas que, como
tales, serán constatables. Lo contrario aboca a un concepto de cultura de compliance
vago y abstracto, poco alineado con un MSS de tipo A (certificable).
(certificable).
II.3.30. Tercera parte

Es la “persona u organismo que es independiente de la organización (3.1)”.
El estándar ISO 37301:2021 utiliza ocasionalmente esta definición, con significados
distintos a interpretar según el contexto, como se explicará más adelante. Se encuentra
en los capítulos 4 Contexto de la organización, 7 Apoyo y 8 Operación.
Es una definición que no figura en la HLS y que no empleó el estándar previo ISO
19600:2014106. Sí lo hizo la norma ISO 37001:2016
37001:20 16 (definición 3.28), con el mismo
texto que ahora adopta el estándar ISO 37301:2021.
37301:2021 .
Comentarios
A primera
primera vista, término tercera parte parece sumamente amplio, dando la impresión
vista, el término
de que su vinculación con determinados requisitos, como los de debida diligencia, los
lo s
convierte en exorbitantes. Sin embargo, la interpretación del término en el contexto
co ntexto
de cada frase, párrafo o apartado donde se ubica, termina de perfilar su sentido con-
creto sin margen de dudas.
El estándar ISO 37301:2021 evita el concepto “socio de negocios”, que fue utilizado
en la norma ISO 37001:2016 (definición 3.26) como una especificidad de tercera
parte. Aunque es un vocablo de utilización frecuente en compliance, habitualmente
se asocia a textos relacionados con la prevención de ilícitos penales, básicamente la
corrupción y el soborno. Teniendo el estándar ISO 37301:2021 una vocación mu-
cho más amplia y no utilizando el término “socio de negocios” en ningún lugar de
su cuerpo normativo107 , se limita a referirse a terceras partes, cuyo alcance procederá
p rocederá
interpretar en virtud del contexto en que se utilice. De este modo, se manifiestan
varios escenarios respecto
respecto a su interpretación:
interpretación:
• Su uso en forma coloquial, como sucede en la Introducción del estándar, por
ejemplo.
106 Aunque no era un término definido en el estándar ISO 19600:2014, se hacía referencia a “ter-
ceras partes” en diferentes apartados del estándar, debiendo interpretarse en su sentido corriente.
107 El único lugar donde aparece el término “socio de negocios” en el estándar ISO 37301:2021
es en la nota que figura en la propia definición de tercera parte , recordando que todos los
“socios de negocios” son terceras partes, pero que no todas las terceras partes son “socios de
negocios”.


compliance según
• Su empleo como término

término definido sin limitar su
su alcance, atribuyéndole enton
enton--
ces un significado amplio, refiriéndose a cualquier sujeto que no sea la propia
organización o susceptible de mantener un nivel de independencia Esto sucede
cuando se incluye en la definición de 3.18 Auditoría.
No debe confundirse esta acepción con la definición de parte interesada, por
cuanto:
– No cualquier tercera parte, en sentido amplio, puede considerarse afectada
por las cuestiones de compliance de la organización.
– Las partes interesad
interesadas
as pueden ser externas a la organizaci
organización
ón o formar parte
de ella (en relación con la amplitud del concepto de parte interesada y la
inclusión en él de colectivos existentes dentro de la organización, véase el
apartado II.3.2 Parte interesada
interesada, de este libro).
• Su utilización como término definido, pero limitando su aplicación a sujetos
externos con los que la organización mantiene o prevé mantener algún tipo de
vínculo o relación y que incluso pueden llegar a actuar actuar en su representación.
representación. Es
el sentido que adopta dentro de los apartados 4.1 Comprensión de la organización
y de su contexto, 4.6 Evaluación de los riesgos de compliance, 7.2.3 Formación y 8.1
Planificación
Plani ficación y contro
controll operaci
operacional
onal. Esta es la acepción más frecuente en compl
compliance
iance,
puesto que la conducta de estas terceras partes puede exponer a la organización
a riesgos de compliance108.
Cuando se utiliza en el anexo A (informativo) Guía para el uso de este documento, el
sentido del término igualmente encaja en alguna de estas acepciones. Por tanto y en
la gran mayoría de casos, no es una definición tan amplia como parece.
En cualquier caso, el conjunto de las cautelas que prevé el estándar ISO 37301:2021
37301:20 21
para el personal y para determinadas terceras partes cierra el círculo de debida diligen-
cia sobre los sujetos cuya conducta puede afectar negativamente a la organización en
términos de compliance.
108 Así, por ejemplo

ejemplo,, el informe de la OCDE sobre cohecho internacional, publicado en octubre
de 2015, señaló que el 75 por ciento de los casos estudiados de cohecho internacional se habían
cometido realizando pagos a través de intermediarios. Esto explica los conceptos de “ busi business
ness
partner
partn er ”,
”, en el contexto de la Foreign Corrupt
Cor rupt PPracti
ractices
ces Ac
Act t norteamericana
norteamericana (US FCPA), o “ asso
asso--
ciated
ciat ed pe
person
rson ”, en términos de la Bribe
Bribery
ry Act británica (UKBA), sobre los cuales procede aplicar
cautelas para conocer el nivel de ries
riesgo
go que presenta la relación con ellos. La norma ISO 37001
recurrió al concepto de “socio de negocios”, muy amplio y susceptible de incluir a cualquier
externo con el que se mantuviesen relaciones de negocio. Desde hace tiempo se conoce que las
malas prácticas, no solo asociadas con el cohecho, sino también, con otros aspectos –como la
lesión de los Derechos Humanos–, se pueden encauzar a través de terceros.

II.3.31. Procedimient
Procedimiento
o
Es la “forma específica de llevar a cabo una actividad o un proceso (3.8)”.
El estándar ISO 37301:2021 utiliza abundantemente esta definición en los capítulos
4 Contexto de la organización, 5 Liderazgo, 7 Apoyo y 8 Operación. En particular,
particular, dentro
de este último capítulo se encuadra el apartado 8.2 Establecimiento de controles y proce-
dimientos, donde se confirma que el término coloquial “control” encaja técnicamente
en el de “ procedimiento de control”.
El origen de esta definición no proviene de la HLS, sino íntegramente del estándar
ISO 19600:2014 (definición 3.25). Aunque tanto la HLS como luego el estándar
ISO 37001:2016 se limitan a definir proceso, la norma ISO 19600:2014 y ahora el
estándar ISO 37301:2021 han querido ilustrar que los pasos para ejecutar un proceso
pueden estar recogidos en uno o más procedimientos. Es una nomenclatura más con-
creta y cercana a la que utilizan muchas organizaciones.
Comentarios
En el ámbito del compliance, el modo de llevar a cabo un proceso no es intrascendente,
ya que proces
procesos
os mal desarrollados pueden incluso generar no cumplimient
c umplimientos
os de com-
pliance. Para
Para disminuir el margen de error en la ejecución de procesos suelen dividirse
en procedimientos detallados. Su existencia y correcta implantación debería disminuir
la probabilidad de que una defectuosa ejecución de proce
procesos
sos pueda incrementar la
exposición de las organizaciones a riesgos de compliance.
Los proce
procedimien
dimientos
tos a que se refiere el estándar ISO 37301:2021 deben ser contrastables,
de forma que un tercero independiente que evalúe la conformidad con su contenido
pueda satisfacerse de su existencia y correcta aplicación. Su apartado 8.1 Planificación
y control operacional exige disponer de información documentada que acredite que los
procesos se han llevado a cabo según lo planificado, lo cual afecta de lleno a llos
os proce-
dimientos integrados en ellos. Esto excluye aplicar una acepción amplia y pu puramente
ramente
organizativa del término, que ampararía los procedimientos no documentados, muy
problemáticos en un MSS de tipo A (certificable).

II.4

Contexto de la
organización

La eficaci
eficaciaa del sistema de gestión de compliance viene condicionada por su adecuación
a las circunstancias de la orga
organizac
nización
ión . Por otra parte, la aplicación razonable del
principio de proporcionalidad (véase el apartado I.6.1.2 Princi Principio
pio ddee pro
proporcio
porcionali-
nali-
dad, de este libro) igualmente precisa tenerlas en cuenta. La propia estructura del
capítulo 4 Contexto de la organización señala la secuencia lógica para hacerlo (véase
la figura 4):
4):
• Comprender bien las circunstancias internas y externas que afectan a la organi-
zación y que determinarán las características del sistema de gestión de compliance
que necesita (apartado 4.1 Comprensió
Comprensiónn de la organización y de su contexto).
• Conocer aquellos requisitos en materia de compliance que puedan estar dados
por sus grupos de interés, incluidas las Administraciones Públicas (apartado
4.2 Comprensión de las necesidades y expectativas de las partes interesadas).
• Fijar el alcance del sistema de gestió
gestiónn, de modo que se conozcan sus ámbitos
de proyección en cuanto a geografía, sujetos, actividades y cobertura de sus
principales riesg
riesgos
os de compliance
complian ce, esto es, su perímetro técnico (apartado 4.3
Determinación del alcance del sistema de gestión del compliance).
• Establecer evalua r y mantener el sistema de gestión de compliance
Establec er,, implementar, evaluar
(apartado 4.4 Sistema de gestión del compliance) que, operando en clave sistémica
(interacción entre componentes), cubra todo lo anterior.
anterior.

111

compliance según
Comprensión de las Conocimiento de los Pe

Perímetro
rímetro del
del sistema
sistema
circunstancias requisitos de las de gestión, en
gestión, en todos los
internas y externas partes interesadas sentidos
Apartado 4.1 Apartado 4.2 Apartado 4.3

Comprensión de la Comprensión de las Determinación del
organización y necesidades y alcance del sistema de
de su contexto expectativas de las gestión del compliance
partes interesadas
Identificación de Establecimiento,
Evaluación de riesgos las obligaciones de implementación,
de compliance compliance relacionadas
compliance relacionadas evaluación,
con el perímetro mantenimiento
Apartado 4.6 Apartado 4.5 Apartado 4.4

Evaluación de los riesgos Obligaciones de Sistema de gestión del
de compliance compliance compliance
Figura 4. El orden de los apartados del capítulo 4 Contexto de la organización

indica la secuencia lógica para definir o revisar el sistema de gestión de
compliance.
• Identificar las obligaciones de compliance

compliance que afectan a la organización, que serán
las que guarden relación con sus principales ámbitos de riesgo, es decir, los gru-
109
pos de normas
apartado cuyo incumplimiento
4.5 Obligaciones complianceexpone
de compliance ). más a la organización (véase el
• Desarrollar una evaluación de los riesgos de compliance

compliance relativos a las obligaciones
de compliance
compliance comprendidas en el perímetro técnico del sistema de gestión (apar-
tado 4.6 Evaluación de los riesgos de compliance).
Existe cierta tendencia a pensar que los aspectos tratados en este capítulo afectan
pu esta en marcha del sistema de gestión, al ser
solamente a la etapa inicial de diseño y puesta
109 Separte de la base de que establecer un siste

sistema
ma de gestió
gestiónn de compli
compliance
ance que precise la supervi-
sión de todas las normas que afectan a la orga
organiz
nizació
aciónn es un objetivo inviable en un entorno
normativo extremadamente
extremadament e complejo. Por ello
ello,, se habla de los “princi
“principales”
pales” riesgos de complia
nce,
compliance
lo que conduce a considerar los principales bloques de obligaciones que afectan sustancialmente
a una organi
organizaci
zación
ón. Véanse los comentarios al respecto en el apartado II.4.3 Deter
Determinac
minación
ión del
del
alcance
alcan ce ddelel sisistema
stema de ge
gestió
stiónn del compl
complianc
iancee, de este libro.

II.4 Contexto de la organización 113
materias que condicionan sus contenidos desde el inicio110. Sin embargo, el prin-
cipio de mejora continua
co ntinua (véase el apartado I.6.2.4. Princi
Principio
pio de mejor
mejoraa continua, de
este libro) obliga a revisitar todas estas cuestiones en el contexto de las diferentes
modalidades de revisión que pueden producirse. En este sentido, tanto el siste
de gesti
gestión
ón de compli ance en su conjunto, como algunos de sus componentes sistema
compliance ma
aisla-
damente considerados, pueden ser objeto de revisión tanto de forma planificada
como sobrevenida:
• Las revisiones planificadas son aquellas que se ejecutan, aunque no se haya
producido ningún cambio en las circunstancias de la organización, como son las
indicadas en los apartados 5.3.2 F
Función
unción de compliance, 9.2 Auditoría interna y
10.1 Mejora continua. También
También podríamos considerar una revisión planificada
la actualización de la evaluación de los riesgos de compliance “periódica” que
cita el apartado 4.6 Evaluación de los rriesgos
iesgos de compliance, circunscrita, en tal
caso, a dicha materia.
• Las revisiones sobrevenidas vienen motivadas por un cambio en las circunstancias
internas o externas de la organización o por no conformidades o no cumplimientos
cumplimientos
de compliance que obligan a replantearse su impacto en el sistema de gestión para
introducir en él las variaciones oportunas. Aparecen contempladas en el apartado
10.2 No conformidades
conformidades y acciones correctivas, aunque también puede considerarse
una revisión sobrevenida, en relación únicamente con la evaluación de riesgos
de compliance, que procede impulsar “siempre que haya cambios materiales en
las circunstancias o el contexto de la organización”, contemplada en el apartado
4.6 Evaluación de los riesgos de compliance.

Como se explicará al abordar los siguientes apartados, el estándar ISO 37301:2021
introduce variaciones relevantes respecto a su norma precedente:
110 En verdad, los aspectos que establece el capítulo 4 Contexto de la organización del estándar
ISO 37301:2021 condicionan su diseño, operación y mejora mejora continua, con lo cual deben igual-
mente considerarse a lo largo de su vida de forma planificada. Este motivo llevó a debatir el
eventual traslado de los apartados 4.5 Obligaciones de complianc
compl iancee y 4.6 Evalua
Evaluación
ción de los riesg
riesgos
os
de comp
complia
liance
nce al capítulo 6 Pla
Planif
nifica
icació
ciónn, remarcando con ello su encuadre como actividades
planificadas –y, por tanto, recurrentes– como también ha hecho antes algún estándar nacional
(en la norma española UNE 19601:2017 Sistemas de gestión de compliance penal. Requisitos con
orientaci
orien tación
ón para su uso , que sigue la HLS, la evaluación de ries
riesgos
gos de compliance
compl iance se indica en su
capítulo 6 Plani
Planifica
ficación
ción , por este motivo).


compliance según
relocalizan111 en
• Una parte de los contenidos de la norma ISO 19600:2014 se relocalizan
otros apartados del estándar ISO 37301:2021, especialmente los relativos al
gobierno de compliance.
• Otros contenidos se reformulan y reducen

reducen su extensión normativa para adecuarse
a las características de un MSS de tipo A (certificable). No se pierde contenido,
aunque pasa a tener la consideración de recomendación en el apartado A.4
Contexto de la organización del anexo A (informativo) Guía para el uso de este
documento.
• Se incrementa la importancia del factor cultural como elemento a tener en
cuenta para comprender las necesidades reales de la organización.
II.4.1. Comprensión de la organización y de su

contexto
Interpretar adecuadamente las necesidades de una organización en cuanto a su sistema
Interpretar
de gestión de compliance implica considerar tanto sus circunstancias internas como las
externas. Esta distinción ya estaba presente en la anterior norma ISO 19600:2014
y continúa ahora reflejada en el estándar ISO 37301:2021, si bien añadiendo una
relación no limitativa de cuestiones a considerar, muy amplias 112 y parecidas a las que
plasmó el estándar 37001:2016 (apartado 4.1), sin excesivo desarrollo en el actual
anexo A.4.1 Comprensión de la organización y de su contexto.
Son circunstancias internas las propias de la organización que no dependen de factores
facto res
externos, tales como sus estructuras organizativas y de gobierno, políticas , procesos ,
111 Losseis apartados que componen el capítulo 4 Contexto de la organización del estándar ISO
37301:2021 ya estaban presentes en su antecedente, la Norma ISO 19600:2014. No obstante:
(i) El apartado 4.4 se titulaba Sistema de gestión de compliance y principios de buen gobierno , ha-
biéndose ahora trasladado la parte relativa a principios al apartado 5.1.3 Gobernanza del
compliance.
(ii) Se reformula y simplifica el antiguo apartado 4.5 Obligacion
Obligaciones
es de compliance
compliance , en el actual
apartado 4.5 Obligaciones de compliance
compliance.
(iii) También se reformula y simplifica el antiguo apartado 4.6 Identificación, análisis y valoración
de los riesgos de compliance, en el actual apartado 4.6 Evaluación de los riesgos de compliance.
112 Losfactores a considerar deben interpretarse en su acepción más amplia y con carácter no
limitativo. Así, por ejemplo, dentro de la “situación económica” se podría incluir la posición de
dominio de la organi
organizaci
zación
ón dentro del mercado, con las consiguientes consecuencias en materia
de defensa de la competencia.

procedimientos y recursos, por ejemplo. Las circunstancias externas vienen condicio-

nadas por el entorno en que se desenvuelve la organización, como el contexto legal o
regulatorio.. Del listado de ejemplos que nos facilita el estándar,
regulatorio estándar, dos de ellos merecen
especial atención:
relaciones de negocio con terceras partes, su-
• La naturaleza y el alcance de las relaciones
brayando la importancia que tiene para un modelo de compliance el correcto
conocimiento y gestión de las mismas, en lo que se denomina “ third party
management ”113.
• La actual cultura de compliance de la organización , apuntando implícitamente
la necesidad de mayores esfuerzos en aquellas organi
organizacio
zaciones
nes con déficits en
esta esfera. Es, sin duda, un aspecto clave para darle una orientación apropiada
al sistema de gestió
gestiónn de
d e complianc
compliancee, que dependerá del punto de partida en el
que se halle la organización 114. Este matiz no aparecía reflejado en el antiguo
apartado 4.1 Comprensión de la organización y de su contexto del estándar previo
ISO 19600:2014, ni tampoco en el apartado del estándar ISO 37001:2016.
Es un mensaje evidente sobre la importancia de los aspectos culturales en el
estándar ISO 37301:2021 y en el compliance en general (véase el apartado I.5.1
apartado I.5.1
El estándar ISO 37301:2021 y la cultura
cultura de compliance, de este libro).
Este apartado no indica expresamente que el análisis de las circunstancias de la
organización
organizaci ón conste como informació
informaciónn documentada diferenciada (véanse el apartado
7.5 Inf
Inform
ormaci
aciónón doc
docume
umentantada
da, de la norma, y los apartados II.3.10 Inf
Inform
ormaci
ación
ón
documen
doc umentadtadaa y II.7.5 Inf
Inform
ormaci
ación
ón doc
documen
umentad
tadaa, ambos de este libro), aunque al
tratarse de un requis
requisito
ito del estándar cabrá inferirlo claramente de la documentación
que represente el diseño o la implementación del sis
sistem
temaa de ges
gestió
tiónn.
113 US Department of Justice. "Criminal Division". Evaluation of Corporate Compliance Programs,

Guidance Document, junio 2020. El denominado “Third Party Management ” y las prácticas de “third
party due diligence” en que deriva son aspectos tratados en el apartado E de la Sección I del docu-
mento Is the Corporation’s Compliance Program Well
Well Designed?, en la p. 7 del documento.
114 De este modo, por ejemplo, las organizaciones
organizaciones que hayan tenido incidentes graves o reite-
rados con las autoridades (incluida la Justicia) precisarán normalmente un mayor esfuerzo de
mejora cultural.


compliance según
A CONSIDERAR.
CONSIDERAR. Los factores culturales.
El sistema
El sistema de gest
gestión
ión de
de compliance
compliance es
es meramente instrumental para la consecu-
ción de una cultura ética y de respeto a las normas. Sin embargo, existen
exi sten factores
que
V dificultan
Veamos
eamos el de
algunos establecimiento
ellos: y la propagación de una cultura adecuada.
• Organizaciones
Organizaciones intensivas
intensivas en personas.
Cuantas más personas confluyan en una organización
organización,, más difícil será garantizar
que comparten sus valores y los aplican de manera uniforme y consistente.
• Organizaciones
Organizaciones pluralizadas.
pluralizadas.
Las organizaciones
organizaciones que
que operan en diferentes jurisdicciones afrontan grandes
diferencias culturales que dificultan el establecimiento y el correcto entendimiento
de unos valores comunes.
• Organizaciones
Organizaciones de de crecimiento rápido.
Las organizaciones
organizaciones que
que crecen rápidamente pueden experimentar problemas
para asentar sus valores, especialmente cuando ese crecimiento procede de
operaciones de fusión u absorción (crecimiento inorgánico). En estos casos, la
integración de personas procedentes de entornos –organizaciones
–organizaciones–– culturalmen
culturalmente
te
diversos dificulta asentar una cultura común en el corto plazo.
• Organizaciones
Organizaciones sometidas
sometidas a dinámicas de negocio extremadamente rápidas.
Las organizaciones
organizaciones que
que operan en sectores que precisan de lal a adopción cons-
tante de decisiones rápidas, dificultan los procesos
procesos internos
internos de reflexión que
acompañan la consolidación de valores.
Cabe considerar estos y otros factores a la hora de valorar las necesidades de
cada organización
organización en
en cuanto a su sistema
su sistema de gestión
gestión de
de compliance
compliance,, viendo si
las actividades planificadas ponen el foco en mitigarlos.
II.4.2. Comprensión de las necesidades y

expectativas de las partes interesadas
Son partes interesadas
intere sadas aquellas personas u organiz
organizaciones
aciones que pueden verse afectadas
por decisiones o actividades del sis sistema
tema de ges
gestión
tión (véase el apartado II.3.2 Parte
Parte
intere
int eresad
sadaa, de este libro). Considerando que esta definición recurre a términos
amplios, uno genérico (personas) y otro cuya descripción admite múltiples formas
( orga
organizac
tivo nización
ión , véase elextenso.
definitivamente apartado II.3.1. Organización
Conocer , deeseste
sus necesidades libro), aeslaun
relevante colec-
hora de
establecer un siste
sistema
ma de gesti
gestión
ón de compli
compliance
ance que las satisfaga razonablemente. En
caso contrario, podría propiciar situaciones de no confor
conformidad
midad (véanse los aparta-
dos II.3.15 Conformidad y II.3.16 No conformid

co nformidadad, ambos de este libro) e incluso
de no cumplimient
cump limientoo de complia
compliance
nce (véanse los apartados II.3.27 No cumplimient
cump limientoo de
de
compliance
complia nce y las diferencias entre confo
conformidad
rmidad / no confor
c onformidad
midad y complia
compliance/no
nce/no cum-
plimien to ddee ccomplian
plimiento ompliancece Las no cconformi
onformidades
dades
y los no cumpli
cumplimiento
mientoss de que
compli
compliance
ance, de este
se comentan en el apartado
libro) I.5.3
con eventuales requisitos
requi sitos (véase
el apartado II.3.14 Requi
Requisito
sito, de este libro) u Obligaciones de compliance
compli ance (véase el
apartado II.3.25 Obligaciones de complian
comp liance
ce, de este libro, así como el desarrollo
que realiza el estándar ISO 37301:2021 en su apartado 4.5, según se comenta en
el apartado II.4.5 Obligaciones de compliance, de este libro) fijadas precisamente
precisamente por
algunas de ellas, en especial las que son externas a la organización115. Por su amplitud
e importancia, la redacción del estándar ISO 37301:2021 ha querido aclarar este
universo de necesidades y expectativas a través de dos pasos consecutivos:
lugar, la identificación de las partes interesadas.
• En primer lugar,
lugar, la determinación de los requisitos “relevantes” que puedan
• En segundo lugar,
establecer.. Este último matiz no estaba contemplado
establecer con templado en la norma anterior ISO
19600:2014, aunque sí figura en la HLS y es tan conveniente en un MSS de
tipo A (certificable).
El análisis de las partes interesada
interesadass es un elemento a considerar no solo para determinar
d eterminar
el alcance del sistema de gestión, según se indica en el apartado 4.3, sino también, en el
contexto de la planificación de las labores
l abores indicadas en el apartado 6.1 para asegurar,
asegurar,
por ejemplo, que las actividades planificadas a través del sistema de gestión d
dee compl
compliance
iance
dan cobertura a los requisitos establecidos por las partes interesadas (véase el apartado
II.6.1 Acciones para abordar los riesgos y oportunidades, de este libro).
anterior, no se exige que este análisis conste como in-
Como sucedía con el apartado anterior,
formación documen
documentada
tada (véanse el apartado 7.5 Informaci
Información
ón documen
documentada
tada, de la norma,
y los apartados II.3.10 Información documentada y II.7.5 Información documentada,
ambos de este libro) diferenciada, aunque al tratarse de un requisito del estándar cabrá
inferirlos con claridad de la documentación que represente el diseño o la implemen-
tación del sistema de gestión.
115 Conviene recordar que la definición de parte interesada da cabida a sujetos tanto externos
a la organ
organizac
ización
ión como internos. Es una distinción que remarcó el estándar ISO 37001:2016
a través de su nota única a la definición 3.3. Como se ha apuntado en el apartado II.3.2 Parte Parte
esadaa, de este libro, dedicado a comentar esta definición, el estándar ISO 37301:2021 no
interesad
inter
explicita tal matiz, aunque en la relación orientativa de par
partes
tes inte
interesa
resadas
das del apartado A.4.2.
Comprensión de las necesidades y expectactivas de las partes interesadas del anexo A (informativo)
Guía para el uso de este documento, figuran tanto externas como internas.


compliance según
A CONSIDERAR.
CONSIDERAR. Diferencia entre “regula
“regulador”
dor” y “supervisor”.
Aunque utilizados ocasionalmen
ocasionalmente
te ddee m
manera
anera indistinta, los ttérminos
érminos “re
“regulador”
gulador”
y “supervisor” no son sinónimos. Los órganos reguladores tienen la capacidad de
establecer normas,
las crean. En mientras
algunas que losexisten
jurisdicciones supervisores siguendesulas
organismos aplicación, pero no
Administraciones
Públicas o incluso, entidades de derecho privado (normalmente semipúblicas)
que tienen atribuidos uno o ambos cometidos. Algunos requisitos
requisitos “relevantes”
“relevantes”
se localizarán en las normas que emiten los órganos reguladores, mientras que
otros constarán en las resoluciones obligatorias o prácticas uniformes esperadas.
EJEMPLOS. Algunas partes interesadas.

El apartado A.4.2 Comprensión de las necesidades y expectativas de las par-
tes interesadas del
interesadas del anexo A (informativo) Guía para el uso de este documento
documento
incluye algunos ejemplos de utilidad. Sin embargo, a efectos didácticos, es útil
comprender que las partes interesadas,
interesadas, como “persona u organización
organización que
que puede
afectar verse afectada, o percibirse como afectada por una decisión o actividad”,
pueden localizarse tanto fuera como dentro de la organización
organización.. Esta distinción,
que consta en la única nota de aclaración a la definición 3.3 Parte interesada
interesada
del estándar ISO 37001:2016, no se introdujo en el estándar ISO 37301:2021,
pero viene implícitamente reconocida en los ejemplos que facilita el apartado
A.4.2 Comprensión de las necesidades y expectativas de las partes interesadas
interesadas
del anexo A (informativo) Guía para el uso de este documento.
documento.
Veamos algunos
alguno s ej
ejemplos
emplos habituales de partes interesadas externas,
interesadas externas, tanto de
carácter público como privado:
• Los organismos reguladores o supervisores.
Una organización
organización puede
puede estar sometida a diversos reguladores y supervisores:
es el caso, por ejemplo, de una empresa farmacéutica cotizada, que estará
sometida a las indicaciones del regulador de mercado bursátil, pero también
de las relacionadas con el sector salud o de los medicamentos.
Emiten normas y directrices cuyo incumplimiento no solo puede derivar en
sanciones, sino también, suponer la imposibilidad de operar en el mercado o
desarrollar la actividad correspondiente.
• Las autoridades judiciales.
Sus requisitos
requisitos “relevantes”
“relevantes” no solo pueden venir determinados por sus sentencias,
sino también, mediante de circulares, etc.
• Las autoridades tributarias.
La tributación constituye una faceta que afecta a la práctica totalidad de las ope-
raciones
tributario,dedirecto
una organización
organización.
i ndirecto,.de
o indirecto, Hay pocas inmediata
manera transacciones que no Las
o diferida. tengan impacto
autoridades
en este ámbito pueden igualmente fijar requisitos
requisitos de
de control relacionados con
el modo de calcular y gestionar la carga impositiva.

• Las autoridades sociolaborales.

Mantenerse al día sobre requisitos
requisitos de
de control que determinan las autoridades
sociolaborales permite estar alineado con sus expectativas y evitar riesgos
riesgos de
de
compliance,, especialmente en materia de cálculos de contribuciones socio-
compliance
laborales o de la prevención de riesgos
riesgos laborales.
laborales.
• Otras autoridades administrativas.
Aparte de las anteriores, existen otras muchas autoridades administrativas,
bajo denominaciones muy variadas (“agencias”, “oficinas”, etc.) cuyo parecer
y fijación de requisitos
requisitos condicionan
condicionan el diseño y la operación de un sistema
un sistema de
gestión de
gestión de compliance
compliance,, como pueden ser las relacionadas con la prevención
de la corrupción, el medio ambiente, la seguridad física (supervisión de infraes-
tructuras críticas, por ejemplo) y lógica
lógi ca (incluyendo la protección la privacidad
y de datos personal
personales,
es, por ejemplo), la prevención del blanqueo de capitales
y la financiación del terrorismo, los medicamentos, los alimentos etc.
• Los consumidores y usuarios.
Tsumidores
anto de forma individual
constituyen como agrupados
agrupad
un colectivo clave aosconsiderar,
por la vvía
ía especialmente
asociativa, los en
con-
la
era digital donde su percepción de la organización
organización se
se divulga rápidamente.
Asociar a la organización
organización con
con malas praxis puede provocar un efecto adverso
advers o
en el consumo de sus bienes o servicios. Es importante prestar atención a
los requisitos
requisitos que
que puedan venir exigidos por la regulación o impulsados por
plataformas asociativas de consumidores.
• Otras plataformas asociativas.
Las plataformas asociativas sectorial
sectoriales,
es, incluyendo eventualmente las que aglu-
tinan proveedores o subcontratistas, aun sin capacidad de promulgar normas
vinculantes, sí pueden emitir recomendaciones o códigos de buenas prácticas
a los que adherirse. Cuando la organización
organización forma
forma parte de estas plataformas,
atender puntualmente sus requisitos
requisitos se
se convierte en una actividad necesaria.
• Organizaciones
Organizaciones sin
sin ánimo de lucro. Eventualmente, desde el llamado “Tercer
Sector” se pueden llegar a plantear requisitos
requisitos que
que gocen del apoyo de las
Administraciones Públicas o de los mercados.
Algunos ejemp
Algunos ejemplos
los adicio
adicionales
nales,, en esta ocasi
ocasión
ón de partes interesadas internas,
interesadas internas, son:
• Los accionistas/inversores y sus representantes. Es una legítima aspiración de
todo accionista o inversor la sostenibilidad de su inversión, esto es, mantenerla
el mayor tiempo posible, respetando para ello las expectativas de los stake-
holders.. Bajo esta perspectiva, existen aspectos que condicionan su voluntad
holders
de mantener sus vínculos con la organización
organización,, normalmente relacionados con
una gestión responsable. Por ello, no es infrecuente que este colectivo o sus
representantes
las (“proxy
(“proxy advisors
advisors”,
organizaciones deben
organizaciones deben ”, poratención.
prestar ejemplo)Sobre
determinen requisitos a
requisitos a los
estas cuestiones, que
véanse
también los comentarios incluidos en el apartado I.6.1.6 Principio de sosteni-
bilidad,, de este libro.
bilidad


compliance según
• Los trabajadores y sus representantes. Es habitual hallar recomendaciones de

involucrar a los trabajadores o a sus representantes en la concreción de los
valores de la organización
organización y
y determinadas políticas
políticas clave,
clave, incluido, por ejem-
plo, el Código Ético o de Conducta. Puesto que estas normas de alto nivel
son importantes
razonable paraengenerar
involucrar o consolidar
esta tarea la cultura
a los afectados de compliance
de compliance,
(trabajadores).
(trabajadore , parece
s). Al margen de
esto, los trabajadores, por medio de sus representantes, pueden también emitir
requisitos que
requisitos que impacten en el diseño o mantenimiento del sistema
del sistema de gestión
gestión
de compliance
compliance,, eventualmente localizados en la documentación soporte de la
negociación colectiva.
• Funciones sinérgicas.
sinérgicas. Dentro de la organización
organización existen
existen equipos de personas,
organizados en funciones, departamentos o áreas, cuya labor afecta o puede
verse afectada por la propia del sistema
del sistema de ggestión
estión de
de compliance
compliance.. Aunque
su nomenclatura y contenidos varían según cada organización
organización,, las que típi-
camente implican mayor interacción son:
– Asesoría Jurídica interna, principalmente en cuanto su ayuda en el seguimiento
de nuevas normas y análisis de las l as consecuencias derivadas de posibles no
cumplimientos de compliance.
compliance.
– Gestión del riesgo
riesgo,, normalmente estableciendo la metodología para su
medición, de forma que puedan integrarse fácilmente en el mapa general
de riesgos
riesgos de
de la organización
organización y
y hacer seguimiento de ellos a través de la
misma plataforma informática.
– Control interno, cuando
cu ando se ocupa del diseño y el establecimiento de mecanis-
mos de control en el seno de la organización
organización,, algunos de los cuales pueden
proyectarse en la prevención, detección y gestión temprana de riesgos
riesgos de
de
compliance.. De paso, se evitan tanto las lagunas como las redundancias
compliance
innecesarias en el control.
– Auditoría
Auditoría interna,
interna, que revisa el entorno de control para dar aseguramiento
en cuanto a su correcto funcionamiento y, por tanto, fiabilidad de la
información que produce. Aunque existe la tendencia errónea a pensar
que proyecta sus actividades sobre los flujos y reportes de información
financiera, cada vez es más evidente su rol para garantizar igualmente la
calidad de la información no financiera, incluida la de compliance
compliance.. Sobre
la interacción entre la función de compliance y
compliance y la de auditoría
auditoría interna,
interna,
véanse las explicaciones y los ejemplos recogidos en el apartado II.9.2
Auditoría
Audi toría iinterna
nterna,, de este libro.
– Área de organización
organización que,
que, al ocuparse de diseñar y documentar los proce-
sos y
sos y procedimientos
procedimientos clave
clave de la organización
organización,, puede desempeñar un rol
importante
producciónen los referentes
normativa a compliance
interna compliance.
(políticas),), .manteniendo
(políticas En ocasiones,eltambién
árbol deordena la
políticas
políticas
de la organización
organización.. Sus cometidos son claramente sinérgicos en cuanto a
las políticas
políticas y
y a los procedimientos
procedimientos que
que afectan a compliance
compliance..

– Área de personas (antiguamente, Recursos Humanos), con gran potencial

de involucración en aspectos de compliance
compliance tales
tales como la evaluación de
mecanismos retributivos (para evitar que promuevan la asunción imprudente
de riesgos
riesgos),), el análisis de las
l as consecuencias juridicolaborales de las políticas
políticas
y decisionesaldewhistleblower
protección compliance,,. el
compliance establecimiento
Sobre de entre
la interacción sanciones laborales
la función o la
de com-
pliance y
pliance y la de Personas, véanse también las explicaciones y los ejemplos
recogidos en el apartado II.7.2.2 Proceso de empleo,
empleo, de este libro.
– Área de comunicación, con importancia en la difusión de noticias relati-
vas a compliance
compliance,, tanto dentro como fuera de la organización
organización.. Sobre la
interacción entre la función de compliance y
compliance y la de comunicación, véanse
las explicaciones y los ejemplos recogidos en el apartado II.7.4 Comuni-
cación,, de este libro.
cación
– Área de tecnologías de la información y comunicación, con un rol creciente,
no solo en el establecimiento de herramientas adecuadas para desarrollar
actividades planificadas (declaraciones internas de conformidad con políticas
políticas,,
ciclos de formación online
online,, establecimiento de canal interno de denuncias,
etc.), sino también, para preservar la seguridad, la integridad y la confiden-
cialidad de las informaciones de compliance
compliance..
La interacción con estas y otras funciones internas no implica que se sustituyan
los cometidos de compliance
compliance,, pero sí que su labor es útil y sinérgica, siendo
adecuado establecer sus respectivos ámbitos colaboración.
A CONSIDERAR.
CONSIDERAR. La falta de comunicación con funci
funciones
ones sinérgicas.
Es difícil que la función de compliance pueda
compliance pueda desarrollar correctamente su co-
metido sin una interacción continuada y fluida con otras funciones sinérgicas que
operan en la organización
organización ( (partes
partes interesadas internas)
interesadas internas) incluso antes que ella.
ell a. PPor
or
ello, desde el diseño del sistema
del sistema de gestión de
compliance se se tendrán en cuenta
esas relaciones, propiciando su encaje y funcionamiento armónico. No pocos
fracasos de la función de compliance proceden
compliance proceden de una deficiente planificación
de su integración con otras funciones sinérgicas.
II.4.3. Determinación del alcance del sistema de

gestión del compliance
La orga
organizac
nización
ión debe fijar el perímetro del sist
sistema
ema de gest
gestión
ión, circunscribiendo su
ámbito de aplicación desde diferentes perspectivas que cubren, por ejemplo, lindes
geográficos (países, regiones, etc.), organizativos (entidades o unidades de negocio)


compliance según
y personas, pero también, los bloques técnicos supervisados (los relacionados con los
l os
principales riesgos de compliance
compliance). Cabe reflexionar sobre la concreción del perímetro
técnico, que establece ahora el estándar y que no constaba en la norma previa ISO
116
19600:2014 .
Recordemos que el estándar ISO 37301:2021 pretende dar cobertura a las nece-
sidades de complia
compliance nce desde una perspectiva amplia, a diferencia, por ejemplo, del
estándar ISO 37001:2016, que se proyectaba sobre el ámbito del soborno. Esta
holgura precisa identificar sobre qué rie riesgo
sgoss –y, por tanto, sobre qué obli obligac
gacione
ioness
de compliance
compli ance– proyectará sus actividades. Una interpretación maximalista exigiría
comprender todos los posibles riesg riesgos
os de compliance
compli ance, lo que provocaría modelos de
compliance muy amplios y gravosos,grav osos, difíciles
difícil es de implantar,
implantar, gestionar y luego certificar.
certificar.
Un enfoque más razonable es que cubran los “principales” riesg riesgos
os de compliance
complia nce de
la organi
organizació
zaciónn, que es la solución que adopta el estándar ISO 37301:2021 a través
de su única nota interpretativa en este apartado 4.3 Deter Determinaci
minaciónón del alcanc
alcancee del
sistema de gestión del compliance
complianc e. De acuerdo con ello, la razonabilidad
razonabilida d del perímetro
técnico del siste
sistema
ma de gesti
gestión
ón de
d e compli
compliance
ance dependerá de que abarque los “princi-
pales” riesg
riesgos
os ddee compliance
complia nce, lo que es una manifestación de un enfoque basado en
el riesg
riesgoo (véase el apartado I.6.2.2 Enfoque basad basadoo en el rriesgo
iesgo, de este libro. Como
riesgos “principales” cabrá entender aquellos que más exponen a la orga organizaci
nización
ón,
aspecto que debería poder acreditarse para validar la razonabilidad del alcance del
sistema
siste ma de ggestió
estiónn de compli
compliance
ance).
El sistema de gestión será razonable y,y, por tanto, certificable117 , siempre que comprenda
los “principales” riesgos de compliance
compliance que afectan a la organización , que no son ne-
cesariamente todos los que la circundan. Aunque la organización puede recurrir a la
metodología que estime conveniente para concretarlos, deberá estar en disposición
de soportar la razonabilidad del alcance desde esta perspectiva, aspecto que estará
soportado como informa
información
ción documen
documentada
tada, al igual que el resto de factores que perfilan
el perímetro de aplicación según predica el apartado 4.3 Determinación del alcance del
sistema de gestión del compliance.
116 La redacción del apartado 4.3 Determ

Determinaci
inación
ón del alcan
alcance
ce del sis
sistema
tema de gest
gestión
ión del comp
complianc
liancee es
prácticamente la misma tanto en el estándar ISO 37301:2021 como en la norma ISO 19600,
salvo por una variación significativa en su única nota explicativa. Anteriormente, se apuntaban
tanto aspectos geográficos como organizativos a modo de elementos a considerar para fijar el
perímetro de aplicación del sistema de gestión. Ahora se introducen también los “principales” riesgos
de compli
c ompliance
ance sobre los que se deben proyectar sus actividades, lo que conduce a identificar las
diferentes fuentes o grupos de obligaciones de compl
compliance
iance de donde derivan. Serán los bloques
normativos a incluir en el perímetro técnico de supervisión.
117 Para
evitar confusiones o expectativas infundadas, posiblemente las entidades de certifica-
ción limitarán su opinión al alcance del sis
sistem
temaa de gestió
ges tiónn revisado (incluyendo su perímetro
técnico), circunstancia que harán constar en su declaración de conformidad.

A CONSIDERAR.
CONSIDERAR. El concepto no jurídico de “principales” riesgos de
“principales”
compliance.
El carácter internacional de los estándares ISO evita emplear conceptos legales
que, inevitablemente, estarían vinculados con ordenamientos concretos o a
tipologías de sistemas jurídicos.
En la comunidad internacional existen tres grandes tipos de sistemas jurídicos: el
continental, el anglosajón y el de Derecho islámico (Fiqh
(Fiqh).). La diferencia entre ellos
radica en la jerarquía que otorgan a las fuentes del Derecho. Los primeros están
basados en la preeminencia de las normas que emanan de los lo s poderes legislativo
y ejecutivo, con una gran capacidad de sistematizar su acervo en códigos. En
los segundos, la creación del Derecho está en manos de los tribunales a través
de sus sentencias, basadas en escasas normas y de contenido genérico. En los
terceros, el Derecho es una conversión de las normas del Corán Corán y y de la Sunna
la Sunna
y, por tanto, tienen una componente esencialmente religiosa.
Esta diversidad de aproximaciones precisa una redacción flexible para definir el
perímetro técnico de aplicación del sistema
del sistema de gestión,
gestión, lo que se consigue recu-
rriendo al concepto de “principales” riesgos de compliance para
compliance para la organización
organización,,
que cabrá adaptar a las particularidades de cada ordenamiento y sistema jurídico.
Así, en los sistemas continentales los “principales riesgos
riesgos”” estarán en gran parte
asociados a los diferentes bloques de normas que ordena la codificación o que
fija ordenadamente la legislación. Sin embargo, esta aproximación dejará de
tener sentido en sistemas anglosajones, por la subsidiariedad jerárquica de la
Ley y la ausencia de un acervo normativo tan estructurado como el continental.
Tampoco tendrá fácil encaje cuando el contenido normativo derive de los prin-
cipales textos religiosos.
Un motivo adicional
“principales” para
riesgos de que el estándar
compliance es que ISO
compliance es 37301:2021
pueden no concrete
tener su origen los
en normas
asumidas voluntariamente, cuya configuración y extensión varía en cada caso.
A CONSIDERAR. Los “principales” riesgos de compliance y el apetito de

riesgo.
Que el sist
el sistema
ema de gest
gestión
ión d
dee compliance
compliance se
se proyecte sobre los “principales
riesgos”” no significa que la organización
riesgos organización ignore
ignore el resto. No es, por tanto, una
declaración implícita de tolerancia ante los no cumplimientos de compliance
compliance
relacionados con riesgos
riesgos fuera
fuera del perímetro técnico del siste
sistema
ma de gesti
gestión
ón..
Para más información acerca del concepto de “apetito de riesgo
riesgo”,
”, véanse las
explicaciones y los ejemplos que se recogen en el apartado II.4.6 Evaluación de
los riesgos de compliance,
compliance, de este libro.


compliance según
La razonabilidad del perímetro del sistema de gestión de compliance:

• Guardará consistencia con las circunstancias internas y externas de la organi-
zación que se detallan en el apartado 4.1 Comprensión de la organización y de su
contexto.
• Tendrá relación con el nivel de cobertura los requisito
requisitoss que provengan de los
grupos de interés, según se hayan determinado a raíz del apartado 4.2 Com-
prensión de las necesidades y expectativas de las partes interesadas.
• Siendo coherente con el siste
sistema
ma de gesti
gestión
ón d
dee compli
compliance
ance, guardará una clara
correspondencia con las obligacio
obligaciones
nes de compliance
compliance que señala el apartado 4.5
Obligaciones de complian
compliance
ce, en cuanto a que están relacionadas con los “principales”
riesgos de compliance
compliance que exponen a la organización118 que indica este apartado.
EJEMPLO. Perímetro técnico del sistema de gestión.

El perímetro técnico del sistema
gestión viene
viene determinado por los grupos
de obligaciones
obligaciones de
de compliance
compliance cuyo
cuyo potencial incumplimiento expone a la or-
ganización.. En un MSS de tipo A (certificable), este universo debe estar definido
ganización
y ser razonable.
Las organizaciones
organizaciones normalmente
normalmente los identifican y relacionan en el sistema
el sistema de
gestión,, siendo la política de compliance
gestión de compliance una
una buena ubicación a tales efectos.
Aunque tiene una orie
orientació
ntaciónn marcad
marcadamente
amente conti
continental
nental,, a conti
continuació
nuación,n, se
relacionan algunos bloques frecuentes de obligaciones de compliance
compliance extraídos
extraídos
de las Líneas Directrices de la OCDE para empresas multinacionales:
• Defensa de los Derechos Humanos.
• Empleo y relaciones industriales.

• Protección del medio ambiente.
• Lucha contra el soborno y la extorsión.
• Defensa de los intereses de los consumidores.
• Protección de la ciencia y la tecnología.
118 Nótese que el apartado 4.3 Deter

Determinac
minación
ión del alc
alcance
ance del ssiste
istema
ma de gest
gestión
ión del com
complia
pliance
nce hace
referencia explícita al apartado 4.5 Obligaciones de complianc
comp liancee, pero no al 4.6 Evalua
Evaluación
ción de los
riesgos
ries gos de comp
complian
liance
ce . El motivo radica en que la indicada en el apartado 4.4 busca obtener el
perímetro técnico del sistema de gestión de complian
compliancece, lo que guarda una relación directa con las
obligaciones de complia
compliance
nce que afectan a la organiza
organización
ción (apartado 4.5), más que con la casuística
concreta de rie
riesgos
sgos y su proceso de evaluación para cada uno de los bloques de obligaciones
identificados como relevantes.

• Defensa de la competencia.
• Tributación.
No se trata de una relación exhaustiva, pero sí proporciona una idea aproxi-
mada
la de bloques
publicación de de compliance,
compliance
dicho , a loshan
documento, queganado
se pueden sumar otrosen
protagonismo que,
la desde
esfera
internacional:
• Prevención del blanqueo de capitales.
• Protección de la privacidad y de los datos personal
personales.
es.
Cabrían otros grupos de obligaciones, incluyendo aquellos que regulan el
mercado o la tipología de actividades de cada organización
organización,, así como los
asumidos voluntariamente. El estándar ISO 37301:2021 no considera preciso
que el sistema
el sistema de gestión
de gestión de
de compliance
compliance de
de una organización
organización se
se proyecte sobre
todos ellos, pero sí sobre los que puedan conllevar los “principales” riesgos
riesgos
de compliance
compliance.. Así, por ejemplo, un bloque de obligaciones de compliance
compliance
“principal” para un banco es el relativo a la prevención del blanqueo de ca-
pitales, que difícilmente se entenderá que esté ausente del perímetro técnico
de su sistema
su sistema de ggestión
estión.. Tanto es así, que sus actividades de control sobre
terceras partes (
partes (procesos
procesos de
de terceros
terceros,, en terminología ISO 37301:2021) se
proyectan principalmente a clientes y se agrupan bajo denominación específica
de “Customer Diligence” (CDD)119.
“Customer Due Diligence”
MÁS INFORMACIÓN. La polí

política
tica de compliance y la identificación del
perímetro técnico.
Acerca de la posibilidad de plasmar el perímetro técnico del sistema
gestión
de compliance
compliance en
en la política de
de compliance
compliance,, véanse los comentarios y los ejem-
plos que se exponen en el apartado II.5.2 Política de compliance,
Como he señalado antes, el alcance del sistema de gestió

gestiónn d
dee complian
compliance
ce debe estar
disponible como informaci
información
ón do
documentada
cumentada (véanse el apartado 7.5 Informaci
Información
ón ddo-
o-
cumentada, de la norma, y los apartados II.3.10 Información documentada y II.7.5 II.7.5
Información documentada, ambos de este libro).
119 Por ejemplo, es el concepto que utilizan el Board of Governors of the Federal Reserve Sys-
tem ( Federal Rese
Reserve
rve), la Federal Deposit Insurance Corporation (FDIC), la Financial Crimes
Enforcement Network (FinCEN), la National Credit Union Administration (NCUA) y la Office
of the Comptroller of the Currency (OCC). Véase su Joint State
Statement
ment on BBank
ank Secre
Secrecy
cy Act Due
Diligence
Diligen ce Requi
Requirements
rements for Cus
Customers
tomers W
Who
ho May Be Consid
Considered
ered Politic
Politically
ally Expo
Exposed
sed Persons , de 21 de
agosto de 2020.


compliance según
II.4.4. Sistema de gestión de compliance

Los apartados anteriores permiten configurar ahora el sistem
sistemaa de gestió
gestiónn para desarrollar
a través
compl de ysus
compliance
iance dedisposiciones
evaluación delaslos
actividades de identificación
riesgoss de complianc
riesgo comp sistemática
liancee asociados de obl
obligac
igacion
iones
es de.
con su incumplimiento.
incumplimiento
El estándar ISO 37301:2021 define defi ne el término “ sistema de gestión”, pero no el “ sistema
de gestión del compliance” que es, simplemente, el resultado de aplicar sus requisitos.
aproximaci ón en este apartado 4.4 Sistema de gestión del
No obstante, brinda una aproximación
compliance. Dada la importancia de los aspectos culturales y de conducta, se barajó
llamarlo “ sistema de gestió
gestiónn de
d e conducta”, también bajo el acrónimo CMS, pero se
desestimó, no tanto por falta de sentido técnico, sino por ser “ sistema de gestión de
compliance” una nomenclatura ampliamente consolidada.
Es una responsabilidad de la organiz
organización
ación desarrollar una serie de actividades en cuanto
a su modelo de compliance:
1. Establecerlo,
Establecerlo, para aquellas que no dispongan de él.
2. Implementarlo correctamente, cuando existe, pero no se ejecutan razonablemente
las actividades que determina.
3. Evaluarlo de manera periódica, para verificar que sigue siendo adecuado a las
circunstancias de la organ
organizac
ización
ión (internas y externas) y que se aplica con efica
eficacia
cia.
4. Mantenerlo, para evitar que se degrade, desarrollando
desarrollando las actividades que se precisen,
normalmente vinculadas con las revisiones, tanto planificadas
planifi cadas como sobrevenidas.
5. Mejorarlo continuamente, para que incremente su eficacia, disminuya el nivel
de exposición de la organización a los riesgos de compliance
compliance y aumente el umbral
de exigencia en cuanto al tono ético y de respeto a las no
normas
rmas en el seno de la
organización .
Salvo alguna variación menor 120 , estas actividades de la org
organi
anizaci
zación
ón ya estaban
presentes en el antiguo apartado 4.4 Sistema de gestión del compliance y principios de
buen gobierno del estándar anterior ISO 19600:2014 que incluía, además, contenidos
trasladados ahora a un apartado propio, el 5.1.3 Gobernanza del compliance, dotado
de un título más adecuado a su naturaleza y finalidad 121.
apartado 4.4 Sistema de gestión del compl

120 El compliance
iance y pprinci
rincipios
pios de buen gobie
gobierno
rno de norma ISO
19600 no hacía referencia a las actividades de implementación.
121 El
título que empleaba la norma ISO 19600 al referirse a “principios de buen gobierno”
podría confundirse con prácticas generales de buen gobierno corporativo, cuando en verdad
eran buenas prácticas para gobernar el propio sistema de gestión. Por eso, es más apropiado
el título del apartado donde ahora se ubican: 5.1.3 Gobernanza del compliance .

Este apartado no solo relaciona estas actividades; señala también la necesidad de

cuidar los procesos y sus respectivas interacciones según determina el estándar,
estándar, siendo
una llamada de atención a su interpretación y aplicación sistémica (véase el capítulo
II.2 Referencias
norma normativasen, de
ISO 19600:2014 este libro),
el mismo como exige la HLS y que ya apuntaba la
apartado.
Tambi
También,
én, como en su norma
norma anteceso
antecesora,
ra, el estándar
estándar ISO 37301:2021 vincula el sistem
37301:2021 vincula sistemaa
de gestión de compliance con los valores de la organización, sus objetivos, la estrategia y
los riesgos de compliance
compliance, pero teniendo en cuenta el contexto de la organización. Esta
última novedad refuerza la singularidad de los sistemas de gestión de compliance en el
sentido de que su adecuación:
• No obedece a la mera concurrencia
concurrencia de componentes, en clave programá
programática.
tica.
• No es solo el resultado de su interpretación
interpretación y aplicación en clave sistémica,
en sentido abstracto, sino con el sentido específico que exigen las diferentes
apartados de la norma.
• Depende realmente
realmente de la adecuación
adecuación de los componentes y de sus interacciones
a las circunstancias, tanto internas como externas de la organización.
La razonabilidad de los valores, objetivos, estrategia y riesgos de compliance
compliance de la orga-
nización debe evaluarse a la luz de sus circunstancias, tanto internas como externas,
según se tratan en el apartado 4.1 Comprensión de la organización y de su contexto.

Conocer
para, las obligaciones
seguidamente, de compliance
las casuísticas
concretar que afectan
de riesgo organización
a la que es un hito
pueden ocasionar suesencial
incum-
plimiento. El orden de este apartado y en el siguiente (4.5 Obligaciones de compliance
compliance
y 4.6 Evaluación de los riesgos de compliance) obedece a esta lógica obvia.
En relación con la tarea de identificación y posterior actualización de las obligaciones
de compliance
compliance, cabe considerar lo siguiente:
• Las “ obligaciones de compliance
compliance” son un término definido (véanse los apartados
II.3.25 Obligaciones de compliance
compliance y I.5.2 Las dos fuentes de obligaci
obligaciones
ones de com-
com-
pliance, ambos de este libro), que incluyen las que tienen carácter imperativo

compliance según
(llamadas “ requirements” en ISO 19600:2014122) y las que se asumen volunta-

riamente (denominadas “ committments” en ISO 19600:2014, definición 3.15).
Por tanto, la identificación de las obligaci
obligaciones
ones de compliance
complianc e tendrá en cuenta
123
ambas categorías (definición 3.25) .
• Como se ha explicadoexplicado al comentar apartado 4.3 Det
comentar el apartado Determi
erminaci
nación
ón del alc
alcance
ance
del sistema
sist ema de gesti
gestión
ón del compli
compliance
ance, aquel tiene su proyección sobre los “prin-
cipales” rie riesgos
sgos ddee complian
comp liance ce que exponen a la orga
organizanizació
ciónn, pero no sobre su
totalidad (véanse los apartados II.4.3 Det Determ
erminac
inaciónión del alca
alcance
nce del sis
sistem
temaa
de ges
gestió
tiónn ddel
el com
complia
pliance
nce y I.5.2 La
Lass dos fue
fuente
ntess ddee obli
obligac
gacion
iones
es de complia
com pliance
nce ,
ambos de este libro). Por consiguiente, la tarea de identificación y, sobre
todo, la posterior actualización de las oblig obligacio
aciones
nes de complianc
comp liancee se proyectará
sobre los grupos de obligaciones que conforman el perímetro técnico del
sistema
sis tema de ge gesti
stión
ón, perfilado por su capacidad de provocar un nivel relevante
de exposición al rie riesgo
sgo .
MÁS INFORMACIÓN. Obligaciones de compliance y perímetro técnico

técnico del
sistema de gestión.
Sobre los grupos de obligaciones que conforman el perímetro técnico del sistema
del sistema
de gestión,
gestión, véanse las explicaciones y los ejemplos que figuran en el apartado
II.4.3 Determinación del alcance del sistema de gestión del compliance,
compliance, de este
libro. Es también interesante ver cómo la función de
de compliance
compliance debe
debe concretar
dicho perímetro, según se ha comentado con ejemplos bajo el título “ Actividades
que involucran directamente a la función de compliance“,
compliance“, dentro del apartado
II.5.3.2 Función de compliance,
compliance, también de este libro.
• La tarea de identificación de las obliga

obligaciones
ciones de compliance
compli ance debe ser “sistemá-
tica”, de manera que pueda contrastarse la razonabilidad de dicho ejercicio,
especialmente en cuanto al impacto que tienen sobre las actividades de la
organizació
organi zaciónn.
122 ISO 19600:2014, definición

definici ón 3.14. T ambién las explicaciones del apartado I.5.2 Las dos fuentes
También fuentes
de obligac
ob ligaciones
iones de co
complia
mpliance
nce , de este libro.
123 Aunque el estáestándar
ndar ISO 373037301:20
1:2021 21 ya no recog
recogee las
l as defi
definic
nicione
ioness d
dee ““Requis ito de com
Requisito com--
pli ancee” y “Compromiso de com
plianc compli ancee”, su definición 3.25 Obligaciones de com
plianc compli ancee sigue
plianc
considerando que incluye las que una orga organiz
nizaci
ación
ón debe cumplir y también aquellas que elige
volu ntariame
voluntar iamente
nte cump
cumplir. lir. Vé
Véanse
anse los com
comenta
entarios
rios acerc
acercaa de amba
ambass categ
c ategoría
oríass een
n el apar
apartado
tado
I.5.2 Las dos fue
fuente
ntess ddee oobli
bligac
gacion
iones
es de compli
com plianc
ancee, de este libro.

A CONSIDERAR.
CONSIDERAR. Criticidad de ciertas obligaciones de compliance.
ciertas
El entorno que envuelve a las organizaciones
organizaciones en
en el siglo XXI se caracteriza por
una gran complejidad normativa:
• El volumen de normas aumenta vertiginosamente para estipular los avances
en los órdenes social, económico, técnico y científico.
• Se multiplican las autoridades con capacidad de producción de normas jurí- jurí-
dicas: desde autoridades locales, autónomas o federales, las nacionales hasta
aquellas plataformas internacionales con capacidades legislativas cedidas.
• A la profusión de normas jurídicas se añaden normas de asunción voluntaria
producidas por plataformas (nacionales o internacionales), que no disponen
de capacidad legislativa, pero que emiten textos normativos en forma de re-
comendaciones, con gran impacto en sectores de actividad o comunidades.
• El contenido de las normas se tecnifica como respuesta a los progresos sociales,
económicos, tecnológicos y científicos. Por este mismo motivo, incrementa la
volatilidad de sus contenidos al albur de dicha evolución.
• Las sanciones económicas y los daños de reputación derivados de no cumpli-
mientos de compliance (de
compliance (de normas de carácter obligatorio o asumidas volunta-
riamente) se incrementa. Se aprecia una tendencia clara a engrosar el conjunto
de no
de no cumplimientos de compliance que
compliance que alcanzan trascendencia criminal.
A cau
causa
sa de lo ant
anteri
erior
or,, pre
preten
tende
derr que el sis
el sistem
temaa de ges
gestió
tiónn de
de compliance
compliance se
se proyecte
sobre la totalidad de las obligaciones derivadas del panorama anterior es una tarea
poco menos que imposible. La articulación razonable de un sis un sistem
temaa de ge
gesti
stión
ón de
de
compliance atraviesa
compliance atraviesa por identificar sistemáticamente aquellas que son críticas, esto es,
las asociadas con los “principales” riesgos de compliance,
compliance, según clarifica el apartado
4.3 Determinación del alcance del sistema de gestión del compliance.
compliance . Se trata de
asegurar su inclusión en un perímetro técnico de supervisión razonablemente definido.
Este análisis sistemático de criticidad sigue, por tanto, un enfoque basado en
el riesgo
riesgo (véase
(véase el apartado I.6.2.2 Enfoque basado en el riesgo,
riesgo, de este libro).
Estos aspectos deben considerarse tanto a efectos de la identificación de nuevas obli-

gacioness de compliance
gacione compliance como de la actualización de las previamente identificadas, para
introducir en el sist
sistema
ema de gest
gestión
ión de com
compli
plianc
ancee las variaciones precisas para la prevención,
la detección temprana y la respuesta frente a los ries
riesgos
gos asociados con su incumplimiento.
En cualquier caso, la identificación de las obligaciones de compliance forma parte de las
obligaciones que asume directamente la función de complian
compliance
ce, en virtud de lo indicado
en el apartado 5.3.2 F
Función
unción de compliance.
El estándar
Info
Informaci
rmación ISOmentada
ón docu 37301:2021
documentada, de la exige
norma, información documentada
documentada
y los apartados (véanse
II.3.10 Info
Informaciel apartado
rmación
ón docu
document 7.5
mentada
ada
y II.7.5 Inform
Información
ación docum
documentad
entadaa, ambos de este libro) acerca de las obliga
obligaciones
ciones de com
com
pliance que afectan a la organización, que cubrirá lo indicado en los puntos anteriores.

compliance según
II.4.6. Evaluación de los riesgos de compliance

Podríamos decir que en el estándar ISO 37301:2021 existen dos niveles de eva-
luación de riesgos : el primero identifica los “principales” riesgos de compliance , para
incluir después en el perímetro técnico del sistema de gestión aquellas obligaciones de d e
compliance cuya vulneración
v ulneración los pueden precipitar,
precipitar, concretando finalmente las casuís-
ticas de riesgo en cada uno de los grupos de obligaciones (véase la figura 5). 5). El primer
análisis se indica en el apartado 4.3 Determinac
Determinaciónión del aalcance
lcance del sistema de ggestión
estión
del compliance, mientras que el segundo se trata en el apartado 4.6 Evaluación de los
riesgos de compliance. Y ambos deben figurar en calidad de información documentada
(véanse el apartado 7.5 Información document
documentada
ada, de la norma, y los apartados II.3.10
II.3.10
Información documentada y II.7.5 Información documentada, ambos de este libro). l ibro).
MÁS INFORMACIÓN. Tarea inherente a la función de compliance.

El desarrollo de ambos ejercicios es una tarea propia de la
l a función de compliance,
compliance,
según deriva del régimen que se explica y comenta con ejemplos bajo el título
“ Actividades que iinvolucran
nvolucran directamente a la función de ccompliance
ompliance“,
“, dentro del
apartado II.5.3.2 Función de compliance,
Este apartado aborda la evaluación de los riesg riesgos

os de compliance
complia nce en de cada uno de
los “principales” grupos de obligacione
obligacioness de compliance
compliance previamente identificados. Es
un proceso que atraviesa por desarrollar tres actividades consecutivamente (véase la
figura 6):
6):
• Identificar aquellas obligaciones de compliance en particular que, en un ejercicio

racional de previsión124 , se estima que pueden generar no cumplcumplimie
imientos
ntos de
compliance.
Pueden darse a nivel de actividades desarrolladas, productos o servicios
servicios presta-
presta-
dos y otros aspectos relevantes del modo en que la organización desarrolla sus
operaciones.
124 Todas
Todas las obligaciones de compliance
obligaciones compliance son susceptibles de incumplimiento. Tal circunstancia arrojaría
evaluaciones de los riesgos de compliance
compliance muy poco prácticas, contemplando incluso no cumplimient
cumplimientosos
remotos debido a su lejanía con las actividades de la organ ización. Para evitar esta distorsión, es preciso
organización
realizar un ejercicio racional de previsión, esto es, considerar aquellas obli
obligacio
gaciones
nes de compliance
compliance y casuís-
ticas que, atendidas las circunstancias de la organi
organización
zación pudieran llegar a concurrir
concurrir.. El conocimiento
histórico del sector de actividad, así como de la trayectoria de la organización ayudan en este ejercicio.

Pe
Perímetro
rímetro del Identificación de las
sistema de gestión,
gestión, obligaciones de compliance
compliance
en todos los sentidos d relacionadas con
el perímetro
Apartado 4.3
Determinación del alcance Apartado 4.5
del sistema de gestión del Obligaciones de compliance
compliance
r
Evaluación de
Apartado 4.6
Evaluación de los
Figura 5. La evaluación de los riesgos de compliance guarda relación con

aquellas obligaciones de compliance que están comprendidas dentro del
perímetro técnico del sistema de gestión
ge stión.
Proceso de
Proceso de evaluación de riesgos de compliance
Identificación
r Análisis
r Valoración
Figura 6. La evaluación de los riesgos de compliance atraviesa por tres etapas

consecutivas, consistentes en su identificación, análisis y valoración.

compliance según
CONSIDERAR. Riesgos vinculados con las actividades del personal.

A CONSIDERAR.
Una parte de los riesgos
riesgos procederán
procederán de actividades que la organización
organización desarrolla
desarrolla
a través de su personal
personal.. En este sentido, procede conocer qué procesos
procesos y
y proce-
dimientos de la organización
dimientos de organización guardan
guardan relación con dichas actividades, así como
también el personal con roles, responsabilidades o autoridades relevantes en ellos.
Esto permitirá aplicar sobre estas actividades y los colectivos vinculados con ellas
medidas de prevención, detección y reacción temprana ante riesgos de compliance.
MÁS INFORMACIÓN. Competencias de las personas vinculadas con

actividades de riesgo.
Procurar unas competencias adecuadas en las personas que participan en ac-
tividades de riesgo
riesgo es
es una muestra de diligencia básica, así como un requisito
requisito
del estándar ISO 37301:2021. Sobre esta materia, véanse los comentarios y los
ejemplos que se desarrollan en el apartado II.7.2 Competencia
Competencia,, de este libro.
Dicho apartado plantea actividades para que las personas que se vinculan con
la organización
organización dispongan
dispongan o adquieran las competencia
competenciass precisas para gestionar
los riesgos
riesgos que
que las exponen.
CONSIDERAR. Riesgos provenientes de terceras partes.

A CONSIDERAR.
Preocupan especialmente los no cumplimientos de compliance que
compliance que vienen indu-
cidos o propiciados por terceros con los que se mantienen vínculos. Para una
correcta evaluación de riesgos
riesgos,, se tendrá en cuenta el perfil de terceras partes
partes
con los que se mantienen relaciones, que es una actividad implícita en el conte-
nido del apartado 4.6 Evaluación de los riesgos de compliance y
compliance y que se señala
expresamente en el apartado 8.1 Planificación y control operacional.
EJEMPLO. Riesgos de compliance significativos que proceden de terceras partes.

partes.
Algunas malas praxis relacionadas
rel acionadas con el compliance
compliance se
se canalizan a través de
terceros.. Así, por ejemplo, el Informe de la OCDE sobre cohecho internacional del
terceros
año 2015125 ya señaló que tres cuartas partes de sobornos a funcionarios públicos
se producen recurriendo a relaciones con terceras partes (agentes, joint-ventures
joint-ventures,,
etc.). Y lo mismo es predicable con otras prácticas proscritas internacionalmente,
entre las que figuran las lesiones a los Derechos Humanos asociadas con ciertas
malas praxis laborales.
125 Organization
for Economic Cooperation and Development (OCDE), Informe de la OCDE
sobre cohecho internacional, publicado en octubre de 2015.

CONSIDERAR. Riesgo de “contaminación” o “contagio”.

A CONSIDERAR.
El hecho de mantener relaciones con entidades jurídicamente independientes
genera la percepción errónea de que sus malas prácticas no afectarán a la
organización.. Sin embargo, no siempre es así:
organización
• Mantener vínculos con personas relacionadas con grupos criminales puede soportar
cargos de colaboración con organización criminal, de consecuencias graves.
• A pesar de no estar calificadas como “organización criminal”, el manteni-
manteni-
miento de relaciones con determinadas terceras partes puede perjudicar a la
organización tanto
organización tanto a efectos de reputación como legales.
• El riesgo
riesgo de
de que la organización
organización se
se vea afectada por la conducta irregular de
un tercero guarda normalmente relación con:
(i) El beneficio que obtiene de sus malas praxis.
(ii) La capacidad efectiva de supervisión sobre el tercero
tercero,, que vendrá ha-
bitualmente condicionada por su nivel de dependencia respecto a a
organización..
organización
Por ello, como se exp
explica
lica con ejemplos en el apartado 8.1 Planificación y control
operacional,, procede establecer controles sobre terceras partes,
operacional partes, cuya intensidad
dependerá del nivel de riesgo
riesgo que
que arrojen:
• El perfil de la tercera parte,
parte, per se.
se.
• La operación pretendida con la tercera parte.
parte.
No fijarse en las relaciones con terceras partes,
partes, a efectos de evaluar los riesgos
(de “contaminación”
“contaminación” o “contagio”) que afectan a la organización
organización ni
ni establecer,
esta blecer,
por consiguiente, medidas razonables de control, puede ser interpretado como
un escenario de ignorancia deliberada (“willful
(“willful blindness”),
blindness”), donde se evita
indagar por miedo a los resultados.
MÁS INFORMACIÓN. Controles sobre terceras partes.

En relación sobre la necesidad de establecer controles sobre terceros
terceros,, véanse
las explicaciones que se recogen en el apartado II.8.1 Planificación y control
operacional,, de este libro.
operacional

compliance según
• El análisis de los riesgos de compliance, donde se reflexiona acerca de su grave-

dad, normalmente considerando su probabilidad de ocurrencia y consecuencias
estimadas.
A CONSIDERAR.
CONSIDERAR. Metodología de análisis.
La propia definición de riesgo
riesgo va
va ligada a la incertidumbre (véase el apartado
II.3.7 Riesgo
Riesgo,, de este libro). Por consiguiente, el ejercicio de evaluación de riesgos
riesgos
es una modalidad de prognosis sobre hechos no acaecidos, pero que podrían
llegar a suceder dentro de un ejercicio racional de previsión. El estándar ISO
37301:2021 opta por la metodología clásica de análisis de riesgos riesgos,, consistente
en estimar la probabilidad de su materialización y las consecuencias que se
derivarían en tal caso. Esto se aprecia en la propia definición 3.24 Riesgo de
compliance,, asociada directamente con estos factores, así como en los comen-
compliance
tarios que recoge el apartado A.4.6 Evaluación de los riesgos de compliance del
compliance del
anexo A (informativo) Guía para el uso de este documento.
documento.
A pes
pesar
ar de ser la met
metodo
odolog
logía
ía sub
subyac
yacent
entee en el conoci
conocido
do están
estándar
dar ISO 310
31000:
00:201
20188
Gestión del riesgo. Directrices,
Directrices, no es obligatorio aplicar la indicaciones de este
texto por cuanto no aparece citado en ubicaciones con dimensión editorial (se
menciona en el apartado A.4.6 Evaluación de los riesgos de compliance del
compliance del
anexo A (informativo) Guía
(informativo) Guía para el uso de este documento).
documento). No se trata de un
olvido, sino de un guiño a organizaciones
organizaciones pequeñas
pequeñas y medianas a las que no
cabe exigir metodologías muy elaboradas.
A pesar de su amplia util
utilización
ización en otras esfera
esferas,
s, existen voces críti
críticas
cas respecto
a esta metodología en el ámbito del compliance
compliance,, considerando la singularidad
que envuelve a los incidentes graves y, por tanto, la difícil estimación de ocu-
rrencia partiendo
la diversidad de una secuencia
de posibles histórica
consecuencias anteconocida. Tambiéndependiendo
hechos similares, se recrimina
de factores circunstanciales prácticamente
prácti camente imposibles de prever.
prever. Estos razona-
mientos nos acercan a un sistema complejo de previsión 126. No obstante, en
ausencia de una metodología contrastada más fiable, es la más aceptada y
empleada a nivel internacional. Cabe entonces interpretar su empleo dentro
de la aplicación razonable de la denominada “business
“ business judgement rule”,
rule”, que
explico al hilo de los contenidos del apartado II.9.1.4. Informes de compliance,
compliance,
de este libro.
126 Los
sistemas complejos son aquellos donde concurre un número elevado de variables de peso
ponderado desigual, que hacen muy difícil desarrollar ejercicios fiables de pronóstico. En los
sistemas complicados, sin embargo, el número de variables es acotado o algunas condicionan
sustancialmente a las restantes, incrementando la fiabilidad del pronóstico.

A CONSIDERAR.
CONSIDERAR. Factores de estimación de la pr
probabilidad.
obabilidad.
Son factores de probabilidad aquellos que ayudan a prever la ocurrencia de un
suceso, por ejemplo:
• El número de ocasiones con que se materializa el riesgo
riesgo en
en el pasado, o ha
estado a punto de hacerlo.
• La frecuencia en que se desarrolla la actividad en cuyo contexto puede mate-
mate -
rializarse el riesgo
riesgo..
• El volumen de sujetos que pueden llegar a desarrollar las conductas asociadas
con el riesgo
riesgo..
• El nivel de conocimiento y experiencia de la organización
organización y
y sus personas en la
gestión de las actividades vinculadas con el riesgo
riesgo..
El análisis de estos factores arroja una estimación de probabilidad, sea holística
(análisis en conjunto de los factores, en una estimación global) o como el agre-
gado tras sudado
estimación individualización
a cada uno de(fórmulas matemáticas
los factores que ponderan
determinantes un valor dey
de la probabilidad
arrojan así un valor numérico conjunto).
A CONSIDERAR. Factores
Factores de estimación del impa
impacto.
cto.
Son factores de impacto los que ayudan a estimar cuán graves serían las conse-
cuencias para la organización
organización,, en caso de materializarse el riesgo
riesgo.. A tales efectos,
suelen considerarse dos grandes categorías de daños:
• Los de reputación, asociados con la erosión de la imagen de la organización
organización
y las consecuencias económicas que se derivan de ello.
• Los
del económicos en términos
no cumplimiento de sanciones,
de compliance,
compliance que varíanetc.
, su reiteración, en virtud de la gravedad
Al igual que antes (análisis de probabilidad), el estudio
estudio y la conclusión respecto
a los mismos puede ser holístico o derivado de la modelización matemática
(véase la figura 77).).

compliance según
CONSIDERAR. Riesgo inherente (bruto) y riesgo residual (neto).

A CONSIDERAR.
• El riesgo
riesgo inherente
inherente o bruto es el que expone a la organización
organización en
en ausencia de
toda medida de prevención, detección o reacción temprana ante los riesgos de
compliance
compliance.
de control. . Es decir, es el nivel de riesgo
riesgo sin
sin tener en cuenta ningún elemento
• El riesgo
riesgo residual
residual o neto es el que finalmente expone a la organización
organización,, descon-
tado el efecto mitigante que ocasionan las medidas de prevención, detección
y reacción temprana que ha dispuesto para cubrir los objetivos
objetivos de
de control.
De acuerdo con lo anterior, la migración de un riesgo
riesgo inherente
inherente elevado a uno
residual inferior debería venir refrendado por la existencia de elementos de control
que justifiquen tal variación, esto es:
• El adecuado diseño de las medidas de prevención, detección y reacción tem-
tem-
prana ante los riesgos de compliance,
compliance, de manera que cubran los objetivos
objetivos de
de
control pretendidos.
• La aplicación eficaz
eficaz de
de dichas medidas, especialmente en términos de unifor-
midad (aplicación en todos los procesos
procesos de
de la organización
organización donde
donde se precisan,
con independencia de su localización) y consistencia (aplicación en todos los
casos según los mismos criterios determinados por la organización
organización).).
La traza documental de estos aspectos es la que sustenta que el tránsito de la
estimación del riesgo
riesgo inherente
inherente al residual es plausible.
Alta Riesgo n
d
a
d
i
l
i
b
a Media
b
o
r
P
Baja
Bajo Medio Alto
Impacto
Figura 7. Los riesgos evaluados en términos de probabilidad de ocurrencia

ecuadros
impactodepueden ilustrarse
una matriz gráficamentecartesianas
de coordenadas localizándolos en losEldiferentes
positivas. ejemplo
muestra la localización de un riesgo (n) cuya evaluación arroja un resultado
alto tanto de probabilidad como de impacto.

En ausencia de ese entorno de control (diseño y eficacia

eficacia),), el riesgo
riesgo residual
residual o
neto tenderá a acercarse al inherente o bruto (véase la figura 88).).
A CONSIDERAR. Riesgo residual (neto) estimado y riesgo residual (neto)

contrastado.
El riesgo
riesgo residual
residual estimado suele derivar de un primer ejercicio de evaluación,
resultando de valorar el efecto esperado
esper ado de las medidas de prevención, detección
y gestión temprana (controles) en relación con los objetivos
objetivos de
de control deseados
y, por tanto, sobre su capacidad hipotética de mitigación, tanto de la probabili-
dad de materialización del riesgo
riesgo como
como de sus consecuencias. El riesgo
riesgo residual
residual
contrastado es el que resulta del testeo de controles que señala el apartado 8.2
Establecimiento de controles y procedimientos,
procedimientos, de utilidad para contrastar si la
variación entre el riesgo
riesgo inherente
inherente y el residual estimado es plausible.
CONSIDERAR. Riesgo sectorial.
A CONSIDERAR.
El riesgo
riesgo sectorial
sectorial es el que se observa en los operadores en un sector de actividad
o mercado, ilustrando una suerte de benchmark
benchmark o o media del riesgo
riesgo residual
residual de
las organizaciones
organizaciones que
que operan en él.
Riesgo
Alta bruto
d
a
d
l
i Riesgo
b Media neto
a
b
o
r
P
Baja
Bajo Medio Alto
Impacto
Cada riesgo puede evaluarse y plasmarse como inherente (riesgo

Figuray8.residual
bruto) (riesgo neto). La variación entre ambas magnitudes debería
venir justificada por la existencia
e xistencia de controles qu
quee amparen la diferencia entre
e ntre
ambos valores.


compliance según
Algunos reguladores y supervisores recurren a este concepto para comparar el

entorno de control de algunas organizaciones
organizaciones respecto
respecto a sus equivalentes (“peers
(“peers”),
”),
induciendo así una mejora continua del
continua del conjunto y trasladando cierta presión a
las situadas por debajo de la media sectorial. Se construye así una aproximación
al riesgo
riesgo neto
neto medio de las empresas comparables.
Bajo esta perspectiva, un riesgo
riesgo sectorial
sectorial bajo no significa que las
l as empresas
que operan en él carezcan de exposición a dicho riesgo
riesgo inherente,
inherente, sino que
disponen de medidas eficaces para su prevención, detección y reacción
temprana.
EJEMPLO. Riesgo inherente (bruto), residual (neto) y sectorial.

Sabemos que el blanqueo de capitales constituye un riesgo
riesgo para
para cualquier entidad
financiera. A partir de esta premisa, veamos tres situaciones (véase la figura 9):
9):
• Si un banco careciera de medidas para la prevención del blanqueo de capitales,
ejercería una poderosa atracción para sujetos criminales deseosos de lavar sus
activos. Por eso, el pronóstico de riesgo
riesgo inherente
inherente es elevado.
• No obstante, las medidas de prevención, detección temprana y reacción frente
al blanqueo de capitales permitirán a la entidad alcanzar un nivel de riesgo
riesgo
residual inferior al inherente.
Alta Bruto
d
a
d
i
l
i
b Media Neto
a
b
o
r
P
Sector
Baja
Bajo Medio Alto
Impacto
Figura 9. La figura añade el riesgo sectorial, entendido como una aproximación

a la media del riesgo residual (riesgo neto) de los sujetos comparables ( peers
peers)
a la organización . Esto permite observar que, aunque su riesgo residual es
inferior al inherente, continúa siendo superior al del sector.

• No obstante, su riesgo
riesgo residual
residual puede continuar siendo superior al sectorial
si se concluye que no dispone de un entorno de control equivalente al de sus
peers.. El riesgo
peers riesgo sectorial
sectorial se concibe, así, como una aproximación a la media
de riesgos
riesgos residuales
residuales de las organizaciones
organizaciones que
que operan en el mismo.
valoración de los rie

• La valoración riesgo
sgoss de complia
com pliance
nce , donde se priorizan para dar lugar
a una asignación razonable de recursos para su prevención, detección y
gestión.
El apartado A.4.6 Evaluación de los riesgos de compliance del anexo A (informa-
tivo) Guía para el uso de este documento se afana en aclarar que esto no significa
que los riesgos con una priorización baja supongan un nivel de aceptación por
parte de la organizació
organizaciónn, sino que el foco de atención se centrará en los de mayor
prioridad, pero sin olvidarse del resto.
A CONSIDERAR.
CONSIDERAR. Riegos residuales (netos) “bajos” a mantener bajo
supervisión.
Que un riesgo
riesgo residual
residual (neto) de compliance
compliance tenga
tenga una calificación (estimada
o contrastada) de “bajo” no significa que pueda situarse fuera del “radar” de
control de la organización
organización.. De este modo, cabe distinguir entre:
• Riesgos
Riesgos residuales
residuales (netos) calificados como “bajos” porque derivan de riesgos
riesgos
inherentes (brutos) igualmente bajos (en ocasiones calificados como “negligi-
bles”). Suele ser el caso de riesgos
riesgos asociados
asociados con casuísticas que no guardan
ninguna relación con las actividades de la organización
organización..
• Riesgos residuales
Riesgos residuales (netos) calificados como “bajos”, pero que derivan de
riesgos inherentes
riesgos inherentes (brutos) de mayor categorización, pero sobre los cuales se
aplican medidas de prevención, detección y gestión (controles), que de forma
estimada o contrastada permiten reducir su probabilidad de materialización y
consecuencias (convirtiéndolos en riesgos
riesgos residuales
residuales bajos).
Aunque ambos riesgos
riesgos comparten
comparten calificación (bajos), no procede gestionar-
los del mismo modo: cabrá mantener la supervisión del entorno de control de
aquellos encuadrables en la última categoría, dado que no hacerlo propiciaría
el incremento en su calificación. Por ello, no suelen desaparecer de las matrices
de riesgos
riesgos y
y controles que ayudan a monitorizar el entorno de control (aunque
su valoración anual sea baja).
A CONSIDERAR.
CONSIDERAR. Controles sobre riesgos inherentes (brutos) bajos.
Algunas organizaciones
organizaciones opinan,
opinan, erróneamente, que no es necesario disponer y,
de hecho, no disponen de medios de control respecto a riesgos
riesgos inherentes
inherentes (brutos)
bajos de compliance
compliance.. En la mayoría de ocasiones, esto no es exactamente así.


compliance según
El entorno de control de las organizaciones

organizaciones está
está formado un entramado de
controles, tanto de alto nivel como específicos. Los denominados “controles
generales de alto nivel” (Entity
(Entity Level Controls)
Controls) aplican sobre una pluralidad de
riesgos,, mientras que los “controles específicos” ( Activity
riesgos Activity Level C
Controls
ontrols)) están
ideados para algunos de ellos en particular o las actividades/procesos en que
se manifiestan. Es bastante probable que las organizaciones
organizaciones no
no dispongan de
controles específicos sobre algunos riesgos
riesgos inherentes
inherentes bajos (los no vinculados
con sus actividades, por ejemplo). Sin embargo, continuarán disponiendo de
controles de alto nivel que pueden contribuir a su detección, como los canales
que se explican en el apartado II.8.3 Planteamiento de inquietudes,
inquietudes, de este libro.
A CONSIDERAR.
CONSIDERAR. Priorización por severidad
severidad..
Las estimaciones de probabilidad e impacto son las que permiten priorizar las
medidas para la prevención, detección y reacción temprana ante no cumpli-
mientos de compliance.
compliance. En un universo ideal de recursos ilimitados, este sería
un ejercicio ocioso, dado que podrían emplearse para cubrir cualquier riesgo riesgo,,
por insignificante que fuera. Pero
Pero la escasez de recursos en la vida real exige su
gestión responsable, que en compliance
compliance significa
significa emplearlos atendiendo al nivel
de exposición al riesgo
riesgo.. Estamos, nuevamente, ante una manifestación del enfo- enfo -
que basado en el riesgo
riesgo (véase
(véase el apartado I.6.2.2 Enfoque basado en el riesgo,
riesgo,
de este libro) que afecta a la interpretación de tantísimos requisitos
requisitos del
del estándar
ISO 37301:2021. No hacerlo, supondría dedicar recursos a tareas que no los
merecen, lo que constituiría per se un
se un riesgo
riesgo de
de malversación.
Tras el análi
análisis
sis de los
los riesgos
riesgos de compliance,
compliance, en términos de probabilidad y de sus
consecuencias, la organización
organización los
los priorizará para disponer así de un escalado
priorizado de referentes de atención. Para ello, algunas organizaciones
organizaciones recurren
recurren
al concepto de
probabilidad “severidad”,
e impacto paraque
cadaesriesgo
el resultado de agregar
de compliance.
compliance . las estimaciones de
Apetito de riesgo en compliance.

A CONSIDERAR. Apetito
Una organización
organización puede
puede barajar el riesgo
riesgo de
de diseñar y comercializar productos
o servicios que no gocen de aceptación en el mercado
mer cado y terminen causándole
un quebranto económico o de imagen. Saber hasta dónde está dispuesta a
llegar una organización
organización forma
forma parte de su apetito de riesgo
riesgo.. Sin embargo,
las organizaciones
organizaciones no
no pueden plantearse desarrollar productos o servicios
que vulneren las normas (ni las impuestas ni las asumidas voluntariamente).
Por este motivo, el estándar ISO 37301:2021 pone mucho cuidado en no
utilizar este concepto, que podría interpretarse como la posibilidad de que la
organización decida
organización decida qué normas quiere cumplir y cuáles no, o el grado en
que puede hacerlo (véase el apartado II.3.7 Riesgo
Riesgo,, de este libro). En diferen-
tes momentos de la elaboración del estándar se debatió la introducción del

concepto, rechazándose por el motivo indicado. El concepto de apetito de

riesgo combina
riesgo combina mal con la propia definición de Compliance
Compliance (que
(que se refiere
expresamente a observar “todas” las obligaciones de compliance
de compliance,, véase el
apartado II.3.6 Objetivo
Objetivo,, de este libro), así como con los valores asumidos y
difundidos mediante códigos éticos o políticas
políticas d
dee compliance
compliance,, incluyendo la
tolerancia cero a los no cumplimientos de compliance.
compliance.
Sin perjuicio de lo anterior
anterior,, el apartado A.4.6 Evaluación de los riesgos de com-
pliance del
pliance del anexo A (informativo) Guía para el uso de este documento sugiere
documento sugiere
comparar el nivel de riesgo
riesgo que
que está dispuesta a asumir la organización
organización con
con el nivel
de riesgo
riesgo fijado
fijado en la política de compliance
de compliance en
en su ámbito.
ámbit o. TTal
al vez la organización
organización
disponga de alguna política
política o
o de criterios generales sobre gestión de riesgos
riesgos que
que
fijen umbrales de apetito de riesgo
riesgo,, pero en materia de compliance
compliance regirá
regirá lo que
indique la política
política de
de compliance
compliance,, cuyo contenido será necesariamente restrictivo
por los motivos
motivo s indicados en el párrafo anterior
anterior..
Una organización
organización no
no puede tolerar los no cumplimientos de compliance como
compliance como
un mal necesario en el desarrollo de sus actividades, ni tan siquiera excusán-
dose en que serán puntuales o inmateriales. No puede hacerlo porque
porqu e ningún
sujeto de derecho puede decidir unilateralmente el cumplimiento de las normas
o de los compromisos que le afectan. Esto explica también por qué la propia
definición de compliance
compliance (véase
(véase el apartado II.3.26 Compliance
Compliance,, de este libro)
se refiera expresamente a satisfacer “todas” las obligaciones de compliance.
Cuestión distinta es que las organizaciones
organizaciones se
se planteen operar en geografías o
sectores con alta exposición a algunos riesgos de compliance.
compliance. Pero esta deter-
minación no implica aceptar su materialización y es solo razonable cuando se
disponen de medios robustos para la prevención, detección y reacción temprana
de no cumplimientos de compliance127 .
127 Se
trata de una reflexión que surgirá de la aplicación de lo establecido en el capítulo 4
Contexto de la organización, del estándar ISO 37301:2021. En algunos casos, se puede llegar a
concluir que algunas de las circunstancias internas de la organ
organizac
ización
ión (su nivel de recursos, por
ejemplo) no le permiten dotarse de un sist
sistema
ema de gesti
gestión
ón de
d e compl
complianc
iancee que les permita operar
con seguridad razonable en entornos de ries
riesgo
go (circunstancias externas). En tal caso, deberán
evitar aquellas operaciones, geografías o demás factores de ries
riesgo
go para los que no disponen de
un sist
sistema
ema ddee ges
gestión
tión de compl
complianc
iancee adecuado.


compliance según
Obligaciones de compliance en conflicto y activismo de

A CONSIDERAR. Obligaciones
las organizaciones.
Puesto que las organizaciones
organizaciones no no pueden seleccionar las obligaciones de com-
pliance que
pliance que deben acatar
acatar,, el
el sist
sistema
ema de gest
gestión
ión procurará
procurará el cumplimiento de todas
ellas. Sin embargo, en un entorno complejo pueden darse contradicciones entre
normas jurídicas (especialmente cuando se opera a nivel internacional). Además,
Además,
ciertas leyes locales pueden contrariar los valores de las organizaciones
organizaciones,, de los
que igualmente derivan obligaciones de compliance para
compliance para ellas (por ejemplo, en
materia de derechos y libertades de las personas).
Cuando resulta imposible conciliar obligaciones de compliance de
compliance de contenido con-
tradictorio, las organizaciones
organizaciones pueden
pueden verse compelidas a realizar una elección,
gestionando ese conflicto para minimizar sus consecuencias. No se trata de una
opción de apetito de riesgo
riesgo,, pues, en verdad, las organizaciones
organizaciones no
no promueven
ese conflicto, sino que les viene dado y no pueden evitarlo, gestionándolo del
mejor modo posible para minimizar sus consecuencias. En cualquier caso, dado
que cualquiera que sea su elección provocará un riesgo
riesgo,, como tal debe tratarse,
normalmente a través de una gestión transparente (comunicación a sus partes
interesadas)) y debidamente fundamentada. Esos matices son importantes a la
interesadas l a hora
de distinguir la gestión de conflictos entre normas o incluso el activismo –basado
en valores– de opciones simplemente oportunistas que buscan el beneficio a corto
plazo derivado del no cumplimiento de compliance.
compliance.
En relación con el ejercicio de evaluación de riesgos, el estándar ISO 37301:2021 no

exige emplear una metodología concreta, consciente de la diversidad de las organiza-
ciones y sus circunstancias. No obstante, el apartado A.4.6 Evaluación de los riesgos de
compliance del anexo A (informativo) Guía para el uso de este documento cita la mecá-
nica clásica de identificación, análisis y posterior valoración de riesgos, en términos de
probabilidad e impacto, tan típica de ISO 31000:2018 Gestión del riesgo. Directrices,
referenciando
referenciando dicho estándar a título de simple recomendación.
El ejercicio de evaluación de los riesgos de complia
compliance
nce debe ejecutarse de manera
planificada128, cada cierto tiempo, aunque no existan motivos aparentes para ello, o
cuando se produce un cambio relevante en las circunstancias internas o externas de
la organización.
128 Espreciso desarrollar el ejercicio de evaluación de riesgos

de riesgos de manera
manera planificada para poder
aplicar correctamente el enfoque basado en el riesgo que inviste al estándar ISO 37301:2021. Sobre
los efectos de este ejercicio en las actividades a planificar y desarrollar por la organización , véase
el apartado I.6.2.2 Enfoque basad
basadoo eenn el riesgo , de este libro. Es una práctica habitual actualizar
anualmente el ejercicio de evaluación de riesgos de compliance
compliance (revisión planificada), o incluso antes,
cuando concurren cambios en las circunstancias de la organización (revisión sobrevenida).

A CONSIDE
CONSIDERAR.
RAR. Reevaluación de riesgos y revisión del sistema de g
Reevaluación gestión
estión.
La evaluación de los riesgos de compliance es
compliance es una pieza clave del sistema
del sistema de
gestión de
compliance,, en cuanto sigue un enfoque basado en el riesgo
riesgo (véase
(véase
el apartado I.6.2.2 Enfoque basado en el riesgo,
riesgo, de este libro). Por este motivo,
es importante que esté actualizado según dispone el apartado 4.6 Evaluación
de los riesgos de compliance.
No obstante, la evaluación de los riesgos de
de compliance
compliance constituye
constituye una actividad
dentro del sistema
del sistema de gesti
gestión
ón,, que también procede revisar en su conjunto de
forma planificada, según indica el apartado 10.1 Mejora continua.
continua. En la bús-
queda de sinergias, tendrá sentido desarrollar las reevaluaciones de riesgos de de
compliance de
compliance de forma coordinada con las revisiones más generales del sistema
del sistema
de gestión en
gestión en su conjunto
A CO
CONS
NSID
IDERA
ERAR.
R. Inf
Inform
ormaci
ación
ón de cal
calida
idadd a través
través de la
lass per
person
sonas
as ade
adecua
cuadas
das..
Los ejercicios de evaluación de los riesgos de compliance buscarán
compliance buscarán obtener
información de calidad para fundamentar un juicio de pronóstico (probabilidad
e impacto). Para ello, con gran probabilidad será necesario que la función de
compliance mantenga
compliance mantenga sesiones de trabajo y entrevistas con personas que conocen
bien la organización
organización,, sus procesos
procesos y
y su cultura:
• El órgano de gobierno y
gobierno y la alta dirección.
dirección.
• Las funciones corporativas que disponen de una visión transversal de la orga-
nización y
nización y conocen tanto su operativa como su entorno de control (finanzas,
asesoría jurídica interna, fiscalidad, gestión de riesgos
riesgos,, control interno, auditoría
auditoría
interna, recursos humanos, tecnologías de la información, comunicación y
relaciones públicas, etc.).
• Los responsables de la gestión operativa de la organización
organización (responsables
(responsables de
líneas de negocio, por ejemplo).
Este apartado indica también la evaluación de los riesgos provenientes de actividades

externalizadas o desarrolladas por terceras partes, que encaja con el concepto anglo-
sajón129 de “third party management ” o “third party due diligence”. Los procesos –de
129 Por ejemplo, US Department of Justice-Criminal Division. Eval Evaluati

uation
on of Corp
Corporat
oratee Com-
pliance
plia nce Progra
Programs,
ms, Guida
Guidance
nce Docume nt , junio 2020. El denominado “ Third Party Management ”
Document
y las prácticas de “third party due diligence ” en que deriva son aspectos tratados en el apartado
E de la sección I del documento Is the Corpo
Corporati
ration’s
on’s Compl
Compliance
iance Progra
ProgrammW
Well
ell Designed?
Desi gned? , en la
p. 7 del mismo.


compliance según
riesgo– que involucran a terceras partes deben identificarse, analizarse y valorarse (véase

la figura 10).
10).
A CONSIDERAR.
CONSIDERAR. Riesgo de “contagio” y control sobre terceras partes.
Dependiendo de las circunstancias, las relaciones con terceras partes pueden
afectar a la organización
organización,, no solo desde una perspectiva de reputación, sino
también, legalmente.
Las cautelas en la contratación y promoción de per person

sonal
al establecidas dentro del
apartado 7.2.2 Proce
Proceso
so de empleo, junto con la evaluación de ries
riesgos
gos inducidos por
terceras partes que indica este mismo apartado, cierran el círculo de actividades de
debida diligencia sobre sujetos susceptibles de exponer a la orga organizac
nización
ión a ries
riesgos
gos
de complia
comp liance
nce y sobre cuyo perfil o actividad procede ejercer un nivel razonable
(véase el apartado I.6.1.2 Princi
Principio
pio de propor
proporcionali
cionalidad
dad, de este libro) de control y
seguimiento
segui miento (véase la figura 11).
11).
Clientes
r
Colaboradores
r Organización
r Colaboradores
r
Cadena de suministro
Figura 10. El riesgo de “contaminación” o “contagio” puede estar inducido por

los vínculos de la organización con terceras partes, incluyendo sus clientes, las
entidades con las que mantiene vínculos de colaboración o por su cadena de
suministro.
Sobre el personal Apartado 7.2.2 Proceso de

Interna empleo
Debida diligencia
Sobre las terceras
las terceras Apartado 4.6 Evaluación de
Externa partes los riesgos de compliance
Figura 11. Ejerciendo la debida diligencia sobre los dos colectivos susceptibles
de amenazar a la organización (su personal o las terceras partes con las que
mantiene vínculos) se cierra el círculo de control en esta materia.

comuness en los proce

A CONSIDERAR. Etapas comune procesos
sos de debida diligencia
interna y externa.
Frecuentemente, las organizaciones
organizaciones fijan
fijan sus requisitos
requisitos de
de debida diligencia
para el personal
personal y
y para terceras partes en
partes en procedimientos
procedimientos separados.
separados. A pesar de
ello, siguen una estructura esencial parecida, que atraviesa por tres actividades
básicas consecutivas:
• La adecuada selección del personal
personal o
o de terceras partes.
partes. La mejor cautela que
puede observar una organización
organización comprometida
comprometida con la ética y el cumplimiento
de las normas es evitar vincularse con sujetos (personal
(personal o
o terceras partes)
partes) de los
que se conozca o podría haberse conocido que su perfil no era el adecuado
para asumir las obligaciones de compliance que
compliance que les afectan.
• La formalización jurídica del vínculo con el personal
personal o
o las terceras partes,
partes, in-
corporando las cautelas contractuales precisas en relación con las obligaciones
de compliance
de compliance que
que deben asumir.
• El seguimiento
El seguimiento de
de la relación que se mantiene con el personal
personal o
o las terceras
partes,, para satisfacerse de que su perfil no ha variado negativamente desde
partes
la evaluación inicial que justificó vincularse jurídicamente con ellos y que han
observado aquellas cautelas contractuales acordadas.
Son actividades sucesivas, de forma que el establecimiento de cautelas contrac-
tuales, por ejemplo, solo tiene sentido tras haber superado satisfactoriamente la
evaluación del sujeto (véase la figura 12
12).).
La información documentada
do cumentada que exige el estándar ISO 37301:2021 no se limita al
ejercicio de evaluación de riesgos de compliance
compliance, sino también, a las medidas adopta-
das en relación con los riesgos identificados, es decir, las medidas dispuestas para su
prevención, detección y reacción temprana.
Procesos de
Procesos de debida diligencia
Selección
r Formalización
r Seguimiento
Figura 12. Los procesos de debida diligencia, tanto los referidos al personal
como a las terceras partes con las que se mantienen vínculos, atraviesan por
tres hitos básicos consecutivos: una adecuada selección, la formalización de la
relación con las cautelas contractuales oportunas y su seguimient
seguimientoo.


compliance según
A CONSIDERAR. La ev aluación de los riesgos de compliance y la matriz

evaluación
de riesgos y controles.
El ejercicio de evaluación de los riesgos
riesgos de
de compliance
compliance atraviesa
atraviesa por su identifi-
cación, análisis y valoración. De ello resulta una priorización
priorizaci ón que ayuda a asignar
recursos para su prevención, detección y reacción temprana. Del ejercicio de
evaluación de los riesgos
riesgos de
de compliance
compliance cabe
cabe inferir aquellas actividades yy,, por
tanto, procesos
procesos que
que están asociados con los riesgos
riesgos.. Véanse las explicaciones
acerca de la introducción de controles dentro del apartado II.8.1II.8.1 Planificación
Planificación y
control operacional,
operacional, de este libro.
Las denominadas matrices de riesgos
riesgos y
y controles son tablas donde figuran los
riesgos que
riesgos que exponen a la organización
organización –normalmente
–normalmente priorizados– y los con-
troles que la organización
organización proyecta
proyecta sobre ellos para prevenir su materialización
(controles preventivos), para detectar su ocurrencia (controles detectivos) y, en
cualquier caso, reaccionar del mejor modo posible para mitigar sus efectos. En un
sistema de gestión de
compliance transversal
transversal (que proyecta la supervisión sobre
diferentes bloques de obligaciones de compliance)
compliance) serán proclives a producir
tanto evaluaciones de riesgos
riesgos como
como matrices de riesgos
riesgos y
y controles para cada
uno de los grupos de obligaciones de
de compliance
compliance,, dentro del perímetro técnico
de supervisión del modelo, según se explica en el apartado II.4.3 Determinación
del alcance del sistema de gestión del compliance,
Estas matrices son las que permiten valorar la razonabilidad de la reducción de
los riesgos
riesgos inherentes
inherentes a residuales. A partir de la información que recogen, cabe:
• Analizar el diseño de los controles para valorar su adecuación para la cobertura
del riesgo
riesgo sobre
sobre el que se proyectan y satisfagan los objetivos
objetivos de
de control (que
no sean fácilmente sorteables, que cubran la totalidad de casuísticas por las
que se puede materializar el riesgo
riesgo,, etc.).
• Valorar si semodo).
(del mismo aplican de forma uniforme (en toda la organización
organización)) y consistente
Este análisis permite concluir sobre su eficacia
eficacia y
y corroborar la razonabilidad de
la diferencia entre riesgos
riesgos inherentes
inherentes y residuales. En cuanto al establecimiento
de controles de compliance
compliance,, véanse las explicaciones contenidas en el apartado
II.8.2 Establecimiento de controles y procedimientos,
procedimientos, de este libro.
EJEMPLO. Políticas, procedimientos y controles.

En términos técnicos, tanto las políticas
políticas como
como los procedimientos
procedimientos pueden
pueden albergar
diferentes controles. Así, por ejemplo, una política
política sobre
sobre obsequios y atenciones,
además de establecer los criterios para su permisibilidad o prohibición, puede
comprender:
• Controles preventivos, en forma, por ejemplo, de solicitud de aprobación pre-
pre -
via, cuando el obsequio supera una determinada cuantía, cuando va dirigido

a un determinado perfil de destinatario (persona especialmente expuesta, por

ejemplo) o cuando se realiza en momentos comprometidos.
• Controles detectivos consistentes, por ejemplo, en declarar todos los obsequios
realizados o recibidos en un repositorio confidencial de la organización
organización..
En este ejemplo simplificado, una política
política incorpora
incorpora dos tipos de controles. En
la matriz de riesgos
riesgos y
y controles será preciso identificar los controles a este nivel
si se quiere evaluar o auditar su correcta utilización (realización de tests para
comprobar su aplicación).

II.5

Liderazgo

Desde cualquier perspectiva, es muy difícil que un modelo de compliance opere efi-
cazmente sin la involucración real de los máximos responsables de la organizac
organización
ión.
De ahí la importancia del llamado “ tone at the top”130, que después se ha denominado
“tone from the top” en un esfuerzo por no limitarlo a la cúpula directiva y remarcar
la necesidad de que permeabilice desde allí a toda la organización. Como subraya la
Introducción al estándar ISO 37301:2021, su compromiso juega un papel clave en el
mantenimiento de una adecuada cultura corporativa, que comienza con la fijación y
difusión de valores claros, que estarán secundados por
p or sus propias conductas (véanse
el apartado I.5.1 El estándar ISO 37301:2021 y la cultura de compliance y el capítulo
II.0 Introducción, de este libro).
El capítulo 5 Liderazgo establece los colectivos que están llamados a ejercer dicho
compromiso visible, que son el órgano de gobierno y la alta dirección. No obstante, se
fijan igualmente los roles, las responsabilidades y las autoridades, no solo de dichas
instancias, sino también, de la propia función de compliance, la del management y
y la
del personal, en general.
130 Noción ya presente en COSO I, en 1992.

149

compliance según
Es interesante destacar que, siguiendo la línea que marcó el estándar ISO 19600:2014
y a diferencia de estándares nacionales precedentes131, se evita establecer la figura del
“oficial de cumplimiento” –que evoca a un órgano unipersonal–, recurriendo al con-
cepto de “función”. Esta fórmula admite gran flexibilidad organizativa, permitiendo
designar tanto órganos unipersonales como colegiados y ampara también la creación
de órganos ad hoc
h oc o recurrir a otros preexistentes. Desde una perspectiva práctica,
bastantes de estas opciones facilitan aglutinar perfiles variados, pero sinérgicos en
compliance.
La existencia de una política de compliance132 aplicable en toda la organización, es una
manifestación de liderazgo comprometido con la cultura ética y, por ello, se trata
igualmente en este capítulo. Plasma la voluntad de la organización en el ámbito del
compliance y determina un marco que le permite fijar sus objetivos en esta materia para
progresar
progres ar en ella.

El capítulo 5 Liderazgo se divide en tres apartados principales, que son coincidentes en
cuanto a las materias tratadas, a las recogidas en el anterior estándar ISO
IS O 19600:2014.
No obstante, existen algunos cambios menores relativos a la reorganización y la re-
formulación de contenidos, para mejorar su estructura y ceñirlos a las necesidades
de un MSS de tipo A (certificable). Destaca la inclusión de los apartados 5.1.2 e
5.1.3 dedicados a la Cultura de compliance y a la Gobernanza del compliance, respec-
tivamente. Como se explica a continuación, no son materias nuevas, pero ahora se
ubican mejor en este apartado por su conexión con el liderazgo e incrementan, de
paso, su protagonismo.
131 Elestándar australiano AS 3806:2006, antecesor nacional del estándar ISO 19600:2014
sobre programas de compl
complianc
iancee, recurría a la figura del oficial de cumplimiento, como también
lo hizo después el estándar británico BS 10500:2011 sobre sistemas de gestión antisoborno,
antecesor del estándar ISO 37001:2016.
132 En líneas generales, la existencia de un documento a modo de política es una exigencia común
en los sistemas de gestión de ISO. Sin embargo, para los sistemas de gestión sobre compliance, este
documento adquiere una relevancia destacable, dejando de ser un componente diluido dentro del
resto que conforman el sistema de gestión, para adquirir cierto protagonismo. Esto obedece a la
importancia que otorgan los textos de compliance a fijar y a difundir los parámetros de conducta
que serán luego objeto de supervisión y control.

II.5 Liderazgo 151
II.5.1. Liderazgo y compromiso

El liderazgo y el compromiso corresponden principalmente al órgano de gobierno y a
la alta dirección. El apartado 5.1 Liderazgo y compromiso
compromiso recoge las prácticas en que se
traduce esta llamada, dedicándole especialmente el apartado 5.1.1 Órgano de gobierno
y alta
alta direcc
dirección
ión. Además, incorpora dos apartados muy relacionados: 5.1.2 Cultura de
compliance y 5.1.3 Gobernanza del compliance. Las materias establecidas en estos dos
apartados estaban ubicadas en localizaciones diversas133 en el anterior estándar ISO
19600:2014, lo que dificultaba asociarlas con un liderazgo efectivo.
II.5.1.1. Órgano de gobierno y alta dirección

El apartado 5.1.1 Órgano de gobierno y alta dirección es un mandato a las instancias de
decisión más elevadas de la organizaci
organización
ón. Antes de analizar la relación de actividades
que muestran un liderazgo comprometido con el compl complianc
iancee, conviene señalar la
profusa utilización del verbo “asegurar” (“ ensure”), que se contrapone a otras formas
verbales
verba les que no conllevan
conllevan el mismo
mismo nivel de responsab
responsabilida
ilidad.
d. Así, por ejemplo
ejemplo,, cuando
el apartado 5.3.2 F
Función
unción de com
compliance
pliance relaciona sus actividades, su empleo es mucho
más limitado, debido a que el marco de sus cometidos
co metidos se limita a la “opera
“operación”
ción” del
sistema de gestión de compliance. Sin embargo, el órgano de gobierno y la alta dirección,
en su calidad de últimas instancias decisorias, sí están en disposición de “asegurar”
determinadas prácticas, dada su posición residual de garante.
Los aspectos que trata este apartado ya se contemplaban en el apartado 5.1 Com-
promiso y liderazgo del anterior estándar ISO 19600:2014, aunque sufren ahora una
reformulación y parte de sus contenidos (ejemplos) se trasladan ahora al apartado
ntoCultura de compliance del anexo A (informativo) Guía para el uso de este

A.5.1.2.
A.5.1 .2.
documento
docume .
Se espera que el órgano de gobierno y de la alta dirección:
• Establecer una polít
política
ica de compliance
compliance y los objetivos que derivan de ella, asegurando
su alineación con la dirección estratégica de la organización, de modo que sean
discursos conexos.
133 Los relativoss a la cultura de compliance se localizaban en el apartado 7.3.2.3 Cultura

contenidos relativo
de compliance
compliance del estándar ISO 19600:2014, que incluía una serie de ejemplos e indicaciones propias
de un sistema de gestión no certificable (MSS de Tipo B), pero de difícil encaje en uno certificable
(MSS de Tipo A). Por eso, no solo experimentan una reubicación, sino también, un proceso de sim-
plificación de contenidos y remisión de buena parte al apartado A.5.1.2 Cultura de compliance del
anexo A (informativo) Guía para uso de este documento del estándar ISO 37301:2021. En cuanto a
la parte de gobierno de compliance, se localizaba en el apartado 4.4 Sistema de gestión del compliance
y principios de buen gobierno del estándar ISO 19600:2014.


compliance según
Como se explicará más adelante, aunque dicha política puede contener algunos

objetivos estratégicos de alto nivel (compromiso conco n el cumplimiento de las nor-
mas y valores que afectan a la organizac
organización
ión, por ejemplo), conforma realmente el
marco para la fijación de los objetivos que se abordan en el apartado 6.2 Objetivos
de compliance y planificación para lograrlos.
MÁS INFORMACIÓN. Aprobación de la política de compliance.

Sobre la aprobación formal de la política de compliance
compliance,, véanse las explicaciones,
así como el ejemplo que figura en el apartado II.5.2 Política de compliance,
compliance, de
este libro.
MÁS INFORMACIÓN. Objetivos de compliance.
En relación
tanto con el como
estratégicos marcotácticos
de fijación de objetivos
objetivos de
derivados de él, de compliance y
compliance
véanse y los objetivos
objetivos,
las explicaciones, así,
como el ejemplo que figura en el apartado II.6.2 Objetivos de compliance y
planificación para lograrlos,
lograrlos, de este libro.
• Integrar los requisitos de compliance dentro de los procesos de negocio confor-

mando una unidad que impida desarrollar los unos sin los otros. En ocasiones,
los requisitos del sistema de gestió
gestiónn de compliance constituyen un entorno paralelo
a la operativa ordinaria de la organ
organizaci
ización
ón, de modo que pueden concluirse
operaciones o transacciones sin la seguridad de haber satisfecho las cautelas de
compliance. Cuando ambas esferas están integradas, se gana en eficacia, puesto
que se dificulta o imposibilita desarrollar actividades de riesgo sin haber gestio-
nado antes los aspectos oportunos de compliance.
apartado 5.3.2 F
Aunque el apartado
Aunque Función
unción de complia
compliance
nce le atribuye la obligación de velar
por esta integración, realizando las propuestas o sugerencias convenientes, son
realmente el órgano de gobiern
gobiernoo y la alta direcció
direcciónn los que disponen de la capacidad
para convertirlas en realidad.
MÁS INFORMACIÓN. Integración de los requisitos de compliance en los

procesos corrientes.
Sobre la integración de los requisitos
requisitos de
de compliance
compliance como
como parte de los procesos
procesos
y procedimientos
procedimientos habituales
habituales de negocio (véase el apartado II.5.1.1 Órgano de
gobierno y alta dirección,
dirección, así como los comentarios y el ejemplo que figura en
el apartado II.5.3.2 Función de compliance,
compliance, de este libro).

II.5 Liderazgo 153
recursos que precise el sistema de gestión de compliance, que estará vin-

• Facilitar recursos
culado a las actividades necesarias para su establecimiento, implementación,
mantenimiento y mejora contin
continua
ua (véase el apartado II.7.1 Recurs
Recursos
os, de este
libro, ya que es interesante señalar que en este apartado se establece, de forma
general, la obligación de la organizaci
organización
ón para facilitar recursos, mientras que
5.1.1 Órgano de gobierno y alta dirección concreta que es una obligación última
del órgano de gobierno y de la alta dirección).
MÁS INFORMACIÓN. Recursos de compliance.

En relación con los recursos puestos a disposición de la función de
de compliance
compliance,, su
categorización y tratamiento presupuestario, véanse las explicaciones, así como
los ejemplos que figuran en el apartado II.7.1 Recursos
Recursos,, de este libro.
• Comunicar la importancia que tiene el sistema de gestión de compliance y el cum-

plimiento
–no muchodemás–sus requis
requisitos
en elitos. Es un aspecto
apartado (véase elcuyo contenido
apartado II.7.4normativo se desarrolla
Comunicación , de este
libro, ya que es interesante señalar que en este apartado se establece, de forma
general, la obligación de la organización de comunicar interna y externamente
cuestiones relativas a com
compli
plianc
ancee, mientras que el apartado 5.1.1 Órgano de gobierno
y alta
alta direcció
direcciónn concreta que es una obligación última del órgano de gobigobierno
erno y de
la alta dirección comunicar la importancia del sistema de gestión de compliance y
de dar cumplimiento a sus requisitos).
MÁS INFORMACIÓN. Comunicaciones de compliance.

Sobre la diferente tipología de comunicaciones de compliance
compliance,, véanse las expli-
caciones, así como los ejemplos que figuran en el apartado II.7.4 Comunicación
Comunicación,,
de este libro.
• Asegurarse de que el sistema de gestión de compliance alcanza los resultados pre-

tendidos, lo cual obliga a realizar un seguimiento de los indicadores fijados para
medir el
el nivel de consecución de los objetivos previamente acordados, según se
indica en el apartado 6.2 Objetivos de compliance y planificación para lograrlos.
Normalmente supondrá recibir y analizar la información que arrojan los indi-
cadores –especialmente de forma comparativa con periodos precedentes– en
los informes de compliance que terminan siendo revisados por la dirección134,
según establece el apartado 9.3 Revisión por la dirección.
134 Cuando el apartado 9.3 Revisión por la dirección establece esta actividad relativa a los informes
de compliance, incluye expresamente al órgano de gobierno y a la alta dirección . Es, pues, una acep-
expresamente
ción más amplia de este término no definido que la empleada en el apartado 5.3.3 Dirección, que
se proyecta a colectivos subordinados a las máximas instancias de gestión social.


compliance según
MÁS INFORMACIÓN. Seguimiento del sistema de gestión de compliance.

Sobre los informes de compliance
compliance,, su vinculación con los indicadores, tipología y
periodicidad, véanse los comentarios que figuran en el apartado II.9.1.4 Informes
de compliance y
compliance y,, especialmente, en el apartado II.9.3 Revisión por la dirección
dirección y
sus ejemplos, ambos de este libro.
• Dirigir y apoyar a las personas que contribuyen a la efic ef icac

acia
ia del sist
si stem
emaa
de gesti
ge stión
ón de co
compl
mplia
ianc
ncee. Es interesante señalar que esta obligación no se
agota en brindar apoyo visible a la fun funció
ciónn de compl
co mplian
iance
ce , sino a cualquier
persona que contribuya a su ef efica
icacia
cia , incluidos colectivos
colecti vos dentro y fuera de
la or
organ
ganiza
izacición.
ón.
MÁS INFORMACIÓN. Comunicaciones de apoyo explícito a sujetos en
particular.
compliance,, incluidas las
que suponen muestras de apoyo a determinados sujetos, véanse las explica-
ciones, así como los ejemplos que figuran en el apartado II.7.4 Comunicación
Comunicación,,
de este libro.
• Promover la mejora continua del sistema de gestión de compliance, progresando

así la cultura de compliance en la organización y las conductas que se derivan de
ella.
MÁS INFORMACIÓN. Mejora más allá de los mínimos legales exigibles.

En relación con la mejora del sist
sistema
ema de gest
gestión
ión de compliance
compliance,, entendida
como sobrepasar las exigencias mínimas legales
l egales de aplicación en búsqueda de
la excelencia, véanse las explicaciones del apartado II.10.1
II.10.1 Mejora
Mejora continua,
continua, de
este libro.
• Mostrar apoyo a las personas que desarrollan tareas

tareas gerenciales en el seno de la
organización (directivos, mandos intermedios) cuando llevan a cabo labores de
compliance en el contexto de sus actividades.
CONSIDERAR. El llamado “tone at the middle”.

A CONSIDERAR.
Existe el entendimiento generalizado de que el nivel de compromiso del equipo
de dirección respecto a mantener una conducta ética y alineada con las normas
es esencial para el correcto funcionamiento del sistema
gestión d
dee compliance
compliance..
Sin embargo, ese “tone
“tone at the top”
top” es insuficiente si no llega a todas las personas

II.5 Liderazgo 155
de la organización
organización y
y algunas desempeñan un rol importante
impor tante en esa “cadena de
transmisión”. De este modo, el nivel de creencia en el compliance
compliance terminará
terminará
llegando a todos los estratos jerárquicos de la organización
organización si
si los directivos y
mandos intermedios asumen ese rol. Haciendo propio ese nivel de compromiso,
también lo trasladarán a sus equipos y contribuirán a generalizar la cultura de de
compliance.. Para ello, son relevantes las labores de coaching
compliance coaching que
que desarrollan el
órgano de gobierno y
gobierno y la alta dirección respecto
dirección respecto a tales colectivos.
MÁS INFORMACIÓN. Comunicaciones de apoyo explícito a sujetos en

particular.
compliance,, incluidas las que
guardan relación con las muestras de apoyo a determinados sujetos,
suj etos, véanse las
explicaciones, así como los ejemplos que figuran
f iguran en el apartado II.7.4 Comuni-
cación,, de este libro.
cación
Este apartado también contempla una relación de acciones de índole más general,
que enmarcan a las
l as anteriores:
• Fijar y actualizar los valores de la orga
organizac
nización
ión . El sist
sistema
ema de ges
gestión
tión de com-
pliancee está vinculado con el establecimiento o el mantenimiento de una ade-
plianc
cuada cultura corporativa, como señala la propia Introd
Introducció
ucciónn del estándar135
y desarrolla en su apartado 5.1.2 Cultura de compliance. A tales efectos, fijar
y mantener actualizados los valores de la org organiz
anizació
aciónn constituye una tarea
parámetros de cond
clave para promover determinados parámetros conducta
ucta y controlarlos,
evitando así la inseguridad y la dispersión que provocaría guiarse por cri-
terios de moralidad individual. Estos valores, que normalmente derivan de
una visión de la orga
organizac
nización
ión , permeabilizarán al resto de polí
política
ticass y palancas
conductuales, de manera que exista un marco de comportamientos cohe-
rente y bien definido. Por tanto, son un pilar fundamental en la creación o
ón de una cultur
consolidación
consolidaci culturaa ddee ccompli
ompliance
ance , tal como aparece definida en el
estándar (véase la figura 13).
13).
V
Valores
alores
r Cultura
r Conductas
Figura 13. Cadena básica para la generación de una cultura que se traduce en
conductas.
primer párrafo de la Introducción hace hincapié en la importancia de la cultura de compliance.
135 El
Véanse los comentarios al respecto en el capítulo II.0 Introducción, de este libro.


compliance según
EJEMPLO. Plasmación de los valores de la organización.

Los valores de las organizaciones
organizaciones suelen
suelen estar recogidos en un documento de alto
nivel con nomenclatura diversa. Normalmente, se constatan en códigos éticos
o de conducta que reflejan la visión o la misión de la organización
organización y
y los valores
que se derivan de ella.
Estos textos, cualquiera que sea su denominación, recogen los compromisos de
la organización
organización en en diversos ámbitos y, por tanto, los parámetros de conducta
conducta
que espera de las personas que se vinculan con ella, así como los que no está
dispuesta a tolerar.
tolerar. La redacción de estos textos no suele ser extensa ni compleja,
con el objeto de que su lectura resulte asequible a cualquier persona. No obstante,
su contenido no es meramente programático, sino claramente obligacional: los
valores de la organización
organización y y los comportamientos deseados que derivan de ellos
no son una declaración de intenciones, sino un mandato explícito a las personas
con las que se vincula.
La
ciónformulación,
práctica de la aprobación,
estos la difusión
textos constituyen (interna ydel
evidencias externa), asíindicado
requisito como la(fijación
aplica-
y actualización de valores).
A CONSIDER
CONSIDERAR.
AR. El ccódigo
ódigo ético como pilar del sistema normativo interno.
Por cuanto determinan los valores de la organización
organización,, el código ético, el de
conducta y otros textos equiparables no son una simple política
política más,
más, sino la más
relevante y cuyo contenido debiera investir el resto de la producción normativa,
condicionando, en cualquier caso, su interpretación.
Del mismo modo que los ordenamientos jurídicos vienen encabezados por una
carta magna, fundacional o constitucional, que enmarca los valores por los
que cabrá interpretar y desarrollar el resto de normas jurídicas, el conjunto de
políticas internas
políticas internas de una organización
organización también
también debería generarse e interpretarse
al amparo de un texto de valores. Desde esta perspectiva, los códigos éticos,
de conducta y equivalentes desarrollan un cometido relevante para encabezar,
interpretar y ordenar el resto de políticas
políticas y
y procedimientos
procedimientos internos,
internos, que no de-
berían contravenir su contenido. Esto dota de coherencia lógica al conjunto, al
mismo tiempo que facilita ordenar las políticas
políticas internas
internas en una estructura lógica
de “árbol”, encabezado por el código ético o de conducta.
• Asegurar que se desarrollan las políticas, procesos y procedimientos que son necesa-

rios para alcanzar los objetivos de compliance. Existe una relación evidente con el
apartado 6.2 Objetivos de compliance y planificación para lograrlos, pues de nada
sirve fijarlos si no se realizan esfuerzos para su consecución. Formará
Formará parte de
las actividades de revisión que se contemplan en el apartado 9.3 Revisión por la
dirección.
II.5 Liderazgo 157
CONSIDERAR. El árbol de políticas en las organizaciones.

A CONSIDERAR.
La producción normativa interna debería seguir una estructura lógica, partiendo
de las indicaciones más generales a las más concretas. Ya se ha señalado an-
teriormente que los códigos éticos, los de conducta y los textos equiparables
desempeñan un rol importante en la vertebración de un sistema de políticas
políticas,,
encabezándolo
encabezá ndolo y evitando inconsistencias en la producción e interpretación
de las normas derivadas. Esta aproximación termina generando un entramado
ordenado de políticas
políticas con
con estructura lógica de árbol.
Del árbol de políticas
políticas de
de una organización
organización no
no todas guardan relación con el
compliance.. Pueden existir textos de marcado carácter técnico (instrucciones de
compliance
producción) o algunas vinculadas con las obligaciones de de compliance
compliance que
que no
están dentro del perímetro de supervisión del sistema
del sistema de ge
gestión
stión,, por no constituir
las “principales” fuentes de riesgo
riesgo que
que exige el apartado 4.3 Determinación del
alcance del sistema de gestión del compliance.
compliance.
No obstante, sí que una parte relevante de las políticas
políticas internas
internas de las organiza-
ciones (en
ciones (en el sentido amplio del término) versan sobre aspectos de compliance
compliance,,
como sugiere este mismo apartado y ratifica el 5.3.2 Función de de compliance
compliance,,
incluyendo su elaboración dentro del grupo de actividades que precisan su im-
plicación directa. Sin embargo, ni el estándar ISO 37301:2021 ni los estándares
precedentes ISO 19600:2014 e ISO 37001:2016 exigen expresamente que la
función de compliance mantenga
compliance mantenga un árbol de políticas
políticas de
de compliance
compliance ordenado
ordenado
(debidamente estructurado), aunque es una práctica frecuente y muy próxima a
su rol de generación de ciertas normas (véase la figura 14).14).
Código ético
Política general
Política general Política general
Política general Política general
Política general
de compliance de uso de activos n
Política de
Política de Política de
Política de Política de
Política de
compliance compliance en compliance
antisoborno privacidad n
Figura 14. Un árbol de políticas ordenado sigue una estructura jerárquica y
lógica predefinida.


compliance según
EJEMPLO. Políticas y procedimientos.
Las políticas
políticas internas
internas de las organizaciones
fijan su voluntad y directrices gene-
rales de conducta
conducta en
en determinadas materias, mientras que el detalle
detall e de cómo
ejecutar esos parámetros conductuales viene indicado mediante procedimien-
tos.. Así, por ejemplo, la política
tos política sobre
sobre obsequios y atenciones establecerá los
parámetros de su admisibilidad, mientras que el procedimiento
procedimiento establecerá
establecerá los
pasos a seguir para gestionar esas iniciativas (solicitud de autorización previa
según cuantía al órgano interno pertinente a través del formulario establecido
al efecto, etc.).
En cuanto son textos que plasman la voluntad de las organizaciones
organizaciones en
en deter-
minadas facetas, las políticas
políticas suelen
suelen ser objeto de aprobación por instancias
i nstancias de
gestión social superiores, incluyendo el órgano de gobierno y
gobierno y la alta dirección
dirección
(como sucede con la política de compliance
de compliance).). Sin embargo, se suele delegar la
aprobación de los procedimientos
procedimientos a a otros órganos técnicos.
Aunque es muy recurren
común alaotras
organizaciones recurren
organizaciones disti
distinción
nción entre políticas
políticas y
denominaciones y procedimientos
procedimientos,
e incluso , algunas
categorías intermedias
entre ambos conceptos.
EN BUSCA DE LA EXCELENCIA. Normas globales.

Una organización
organización que
que opere en múltiples países se verá afectada por obliga-
ciones de diferentes ordenamientos jurídicos. Tal circunstancia le dificultará la
emisión de normas internas capaces de cumplir con todos sus requisitos
requisitos,, que, en
ocasiones, no solo son diversos sino eventualmente, contradictorios. A pesar de
ello, las organizaciones
organizaciones continúan
continúan precisando difundir sus pautas de conducta
conducta
a nivel global. Para cubrir este inconveniente se recurren a políticas
políticas globales
globales de
alto nivel, con
regulación contenidos
nacional. generales
A estos textos sedifícilmente contradictorios
adjuntan entonces anexoscon cualquier
o apéndices
con las particularidades de cada jurisdicción en donde operan. Las políticas
políticas y
y
los procedimientos
procedimientos así
así diseñados permiten fijar y difundir un núcleo común de
contenidos y ofrecer guías adicionales de proyección local.
EN BUSCA DE LA EXCELENCIA. Norma de normas.

Una producción normativa ordenada precisa normalmente un procedimiento
que establezca:
• Tipología de normas (políticas
(políticas,, procedimientos, nacionales, globales, etc.).
• Quién puede impulsar la creación de una norma.
• Quién valora la oportunidad/necesidad de la norma.
• Quién prepara la redacción inicial de la norma

II.5 Liderazgo 159
• Qué estructura debe seguir el contenido de la norma.

• Quién revisa la norma.
• Quién aprueba la norma.
• Quién publica y difunde la norma.
• Quién imparte formación sobre la norma.
• Quién archiva la norma y cómo se garantiza su accesibilidad.
Estos son los contenidos habituales de una “norma de normas” que ordena el
proceso de
proceso de producción normativa, que evita la multiplicación innecesaria de los
textos y la adecuada coordina
coordinación
ción o supervisión del árbol de políticas
políticas.. Ayuda
también a mantener el adecuado control de la información documentada que
documentada que
se explica en los apartados II.3.10 Información documentada y,
documentada y, sobre todo, en
II.7.5 Información documentada,
documentada, de este libro.
MÁS INFORMACIÓN. Actividades de seguimiento.

Ni el sistema
el sistema de gestión de
compliance ni
ni las políticas
políticas,, los procesos
procesos y
y los proce-
dimientos que
dimientos que comprende conforman una finalidad en sí mismos, siendo herra-
mientas orientadas a la consecución de los objetivos
objetivos de
de compliance
compliance y,
y, en última
instancia, al mantenimiento de la cultura de compliance.
compliance.
Sobre los diferentes objetivos
objetivos de
de compliance
compliance,, véanse las explicaciones y los ejem-
plos del apartado II.6.2 Objetivos de compliance y planificación para lograrlos,
lograrlos,
de este libro. En relación con el modo de seguir
de seguir el
el nivel de consecución de los
objetivos,, véanse los comentarios y los ejemplos que figuran en los apartados
objetivos
II.9.1.3 Desarrollo
el apartado de indicadores,
indicadores
II.9.3 Revisión por la, dirección,
II.9.1.4 Informes
dirección de este
, todos de compliance
compliance y
libro. y,, en particular
particu lar
puntualmen te sobre temas de compl

• Asegurar que se mantienen informados puntualmente compliance
iance,
incluyendo situaciones de no cumpl
cumplimie
imientos
ntos de comp
complian
liance
ce y las decisiones o
acciones a adoptar para remediarlas. Mantenerse actualizado en los aspectos
clave de la gestión social no es solo un derecho, sino una obligación de los
máximos responsables de las organi
organizacio
zaciones
nes. En bastantes textos legales, esta
obligación trasciende de la mera recepción de documentos y se adentra en
la necesidad de analizar su contenido y plantear cuestiones para comprender
adecuadamente las informaciones recibidas, que se conoce como “ dut dutyy of
enquiry
enqu iry ”. Bajo esta perspectiva cabe interpretar también el apartado II.9.3
II.9.3
Revisión
Revis ión por la dir
direcció
ecciónn.


compliance según
EN BUSCA DE LA EXCELENCIA. Formatos de fácil asimilación.

Tanto el órgano de gobierno como
gobierno como la alta dirección reciben
dirección reciben documentos de natu-
raleza muy variada, que deben analizar cuidadosamente para adoptar decisiones
de manera informada. Aunque el nivel de formación de los administradores
sociales se ha incrementado en las últimas décadas, en grandes organizaciones
organizaciones
difícilmente pueden alcanzar el criterio experto de la multitud de áreas técnicas
que les son reportadas. En este contexto, es de utilidad práctica:
• Evitar que los informes al órgano de gobierno y
gobierno y alta dirección utilicen
dirección utilicen nomen-
clatura técnica solo asequible a algunos pocos (especialistas). Dado que el
perfil de administradores y máximos directivos es variado, será mejor emplear
términos de conocimiento general.
• Recurrir a formatos sumarios donde, facilitando una información completa, se
haga hincapié en los aspectos relevantes donde se precisa actuar
actuar.. Subrayar
Subrayar,, si
es preciso, las cuestiones sobre las que los órganos receptores de la información
deberían pronunciarse o decidir.
• Acompañar los informes técnicos con explicaciones presenciales por parte
de los responsables de su elaboración, de modo que puedan ilustrarlos con
ejemplos y trasladar incluso
inclu so sus opiniones. Sobre este particular
par ticular,, véanse también
los comentarios en el apartado II.9.3 Revisión por la dirección,
dirección, de este libro.
• Dejar margen de tiempo para el debate interno y las preguntas.
Desde luego, estas sugerencias son trasladables a la función de de compliance
compliance en
en
la medida que informa a la dirección, según se comenta en el apartado II.9.3
Revisión por la dirección,
dirección, de este libro. Al respecto,
r especto, es interesante también visitar
las explicaciones de los apartados II.5.1.3 Gobernanza del compliance y
compliance y II.5.3.2
Función de compliance,
compliance, especialmente –en esta última– el apartado dedicado a
los “ Aspectos que incumben a la organización”.
organización”.
compromiso de complia
• En general, asegurar que se mantiene el compromiso compliance
nce y, en par-
ticular, que las no conformidad
confo rmidades
es y no cumplimientos
cumpli mientos ddee complia
compliance
nce se gestionan
adecuadamente. Constituye una evidencia de buen liderazgo la reacción rá-
pida, proporcional (véase el apartado I.6.1.2 Princi Principio
pio de pro
proporcio
porcionalidad
nalidad , de
este libro) y siempre dentro de la legalidad (sobre el principio de sumisión a
Ley, véase el apartado I.6.2.1 Princi
Principio
pio de subord
subordinaci
inación
ón a Ley, de este libro)
ante conduc
conductas
tas contrarias a las pautas establecidas en el marco del siste sistema
ma de
gestión (esta sería, en esencia, la noción de no conformidad. Véanse comentarios
adicionales en el apartado I.5.3 Las no n o confo
conformidad
rmidades
es y lo
loss no cu
cumplimien
mplimientostos de
de
compliance
complia nce, de este libro) o que contravengan abiertamente las obliga
obligacione
cioness de
compliance
complia nce (esta sería, en esencia, la noción de no cumplimiento de compliance.
Véanse comentarios adicionales en el apartado I.5.3 Las no confo conformid
rmidades
ades y
los no cumpli
cumplimient
mientos
os de comp
complianc
liancee, de este libro). Este cometido enlaza con
II.5 Liderazgo 161
uno de los contenidos del apartado 5.2 Política de comp complianc

liancee cuando exige
señalar las consecuencias de no cumplir con las obliga obligaciones
complia nce y de
las polít
políticas
icas , proce
procesos
sos y proce
procedimie
dimientos
ntos establecidos al efecto. Recordemos que
el establecimiento de esta polí
polític
alticaa –de
no com
complia
pliance
nce y
– es también un requisito
expresamente encomendado órgano
órga de gobie
gobierno
rno la alta dire
direcció
cciónn, en este
mismo apartado.
A CONSIDERAR.
CONSIDERAR. Punto de especial interés para llas
as autoridades.
Es interesante conocer que bastantes autoridades nacionales136, evalúan la re-
acción del órgano de gobierno y
gobierno y de la alta dirección frente
dirección frente a irregularidades de
compliance previas,
compliance previas, como indicador,
indicador, no solo de su nivel de compromiso con una
gestión ética y respetuosa con las normas, sino también, de eficacia
eficacia del
del propio
modelo de compliance
compliance..
MÁS INFORMACIÓN. Advertir de las consecuencias de las no conformidades

y los no cumplimientos de compliance y reaccionar frente a ellas.
Acerca del lugar donde advertir de las consecuencias derivadas de las no con-
formidades y
formidades y no cumplimientos de
de compliance
compliance,, consúltense las explicaciones y
los ejemplos que figuran en el apartado II.5.2 Política de compliance,
compliance, de este
libro. Sobre la reacción ante tales situaciones, véanse también los comentarios
y los ejemplos del apartado II.10.2 No conformidades y acciones correctivas,
correctivas, de
este libro.
MÁS INFORMACIÓN. Incidentes perseverantes.

Son incidentes perseverantes aquellos que se reproducen a pesar de haberse
proyectado y ejecutado planes de acción para erradicarlos. Pueden denotar la
incapacidad del sistema
gestión para
para remediar determinado tipo de situacio-
nes, en ocasiones por falta de un adecuado análisis de sus causas raíz. Sobre
este particular, véanse también las explicaciones que figuran en los apartados
II.9.3 Revisión por la dirección
dirección y
y II.10.2 No conformidades y acciones correctivas
correctivas,,
ambos de este libro.
136
Por ejemplo,
Programs, USDocument
Guidance Department of Justice-Criminal
, junio 2020. Véanse losDivision. Evaluation
comentarios en losofapartados
CorporateACompliance
y C de la
Sección II del documento Is the Corporation’s Compliance Program Adequately Resourced aand
nd Em-
powered to Function Effectively?, así como el apartado C de la Sección III del documento Does the
Corporation’s Compliance Program Work in Practice?.


compliance según
• Asegurar que las responsabilidades de compli

compliance
ance se incluyen en las descripciones
de los puestos o posiciones. Es importante que las personas vinculadas con la
organización sepan que velar por el cumplimiento de los requisitos del sistema de
gestión y las obligaciones de compliance
es algo que les afecta individualmente. En
ocasiones, el establecimiento de la función de compliance
compliance puede ser erróneamente
percibida como la traslación del deber de diligencia en cuanto a su observancia.
En verdad, generar o mantener una cultura de compliance es una responsabilidad
compartida por todas las personas de la organización, cada una en el ámbito de
sus cometidos. Para
Para evitar equívocos, en la documentación que recoge el ámbito
de competencias y actividades esperadas de los diferentes puestos y categorías
profesionales, cabrá incluir las correspondientes en materia de compliance. Estas
son, como mínimo, las que figuran en el apartado 5.3 Roles, responsabilidades y
autoridades, que deberían quedar de algún modo reflejadas en los documentos
organizativos correspondientes.
EJEMPLO. Lugares donde plasmar las responsabilidades de compliance

por puestos o categorías.
Existen diversos documentos organizativos que pueden reflejar las responsa-
bilidades de compliance
compliance de de las diferentes posiciones y categorías dentro de la
organización.. En ocasiones, se dispone de manuales de descripción funcional
organización
o de posiciones (“ Job Descriptio
Des criptionn Manua
Manuall”), de uso frecuente, para circunscri-
bir los roles de los diferentes puestos y también es de utilidad en los procesos
procesos
de selección de candidatos a los mismos. En otras ocasiones, documentos
más técnicos, como los mapas de procesos procesos,, también incluyen este tipo de
descripciones.
responsabilidadesPueden ser un buen
y autoridades ensoporte
materiadonde ubicar sus, siempre
de compliance
compliance, respectivos
queroles,
sean
conocidos y generalmente accesibles. Sobre los mapas de procesos procesos,, véase el
apartado II.3.8 Proceso
Proceso,, así como las explicaciones y los ejemplos que figuran
bajo el título “ Activ
Actividades
idades que involuc
involucran
ran iindirect
ndirectamente
amente a la funció
funciónn de com-
pliance”” del apartado II.5.3.2 Función de compliance,
pliance compliance, así como en el apartado
II.8.1 Planificación y control operacional,
operacional, ambas de este libro.
En cualquier caso, la propia política de compliance
compliance puede
puede ser un buen empla-
zamiento para establecer y comunicar los roles por grandes bloques de cate-
gorías, coincidentes en esencia con las que describen los diferentes apartados
dentro del propio apartado 5.3 Roles, responsabilidades y autoridades.
autoridades . No
olvidemos que uno de los requisitos
requisitos de
de dicha política
política es
es exigir el cumplimiento
de las obligaciones
obligaciones de
de compliance
compliance que
que afectan a la organización
organización y y esta meta
precisa ahondar el modo de lograrlo a partir de los diferentes cometidos y
competencias del personal
personal..

II.5 Liderazgo 163
MÁS INFORMACIÓN. Política de compliance

En relación con la política de
de compliance
compliance como
como soporte de los roles, responsa-
bilidades y autoridades en materia de compliance
compliance,, véanse las explicaciones que
figuran en el apartado II.5.2 Política de compliance,
• Designar la función de compliance

compliance, lo que significa atribuir los roles y responsa-
bilidades que constan en el apartado 5.3.2 Función
Función de compliance a:
(i) Un órgano ad hoc o preexistente en la propia organización.
(ii) Un órgano unipersonal o colegiado.
En cualquier caso, será preciso que esté dotado de las capacidades para desarrollar
sus cometidos con independencia.
EJEMPLO. Designación formal a la función de compliance.

El acto de designación del órgano que asumirá la función de
de compliance
compliance es
es una
formalidad relevante, así como la atribución al mismo del grado de indepen-
dencia y autonomía que precisa para el desarrollo eficaz
eficaz de
de sus competencias.
Son aspectos que acreditan requisitos
requisitos importantes
importantes del siste
del sistema
ma de gesti
gestión
ón de
compliance..
compliance
A CONSIDERAR.
CONSIDERAR. Documentación de acuerdos.
Puesto que la operativa de los órganos de gestión social más elevados
elevado s suele que-
dar sometida a las formalidades legales exigidas por la normativa de aplicación,
la designación de la función de
de compliance
compliance precisará
precisará tenerlas en cuenta. Con
frecuencia, esto supone la celebración y documentación formal de un acuerdo
del órgano correspondiente (órgano
(órgano de gobierno o
gobierno o alta dirección)
dirección) donde:
• Se aprueba la política de compliance
compliance..
• Se aprueban los documentos de naturaleza orgánica que determinan el alcance
del sistema
gestión,, la dependencia tanto funcional como jerárquica y las
competencias de la función de de compliance
compliance..
• Se designa el órgano que asumirá el rol de función de
de compliance
compliance..
• Se indica que dicho órgano
ó rgano ocupa una posición destacada dentro del organi
or gani--
grama, reportando directamente al órgano de gobierno y
gobierno y a la alta dirección,
dirección,
sin que otras funciones dispongan de capacidad de dirigir sus actuaciones.
• Se atribuyen a dicho órgano las capacidades de actuación directas, dentro
del ámbito de sus competencias, sin necesidad de ser mandatada específica-
mente para ello. También se permite el acceso a las personas, documentos


compliance según
e informaciones de la organización
organización que
que precise para el correcto desempeño
de sus cometidos. Se hace un llamamiento a las personas de la organización
organización
para que colaboren con la función de de compliance
compliance y
y le faciliten de manera
inmediata las informaciones y documentos que precise en el ámbito de su
rol, responsabilidad y autoridad.
MÁS INFORMACIÓN. Función de compliance.

Sobre la tipología de los órganos que pueden dar forma a la función de
de com-
pliance,, su designación y competencias, véanse también las explicaciones y
pliance
los ejemplos que se recogen en el apartado II.5.3.2 Función de
de compliance
compliance,,
de este libro.
• Asegurar que se establece, como mínimo, un mecanismo para plantear

inquietudes, en línea con las exigencias del apartado 8.3 Plan
Plantea
teamie
miento
nto de
inquietud
inqui etudes
es.
MÁS INFORMACIÓN. Planteamiento de inquietudes.
En relación con los mecanismos para el planteamiento de inquietudes,
inquiet udes, véanse las
explicaciones y los ejemplos que se desarrollan en el apartado II.8.3 Planteamiento
de inquietudes,
II.5.1.2. Cultura de compliance

La primera frase en la Introducción al estándar ISO 37301:2021 subraya la impor-
tancia del establecimiento y la mejora de una adecuada cultura organizativa, como ya
hizo su antecesor ISO 19600:2014. No obstante, se aprecia el incremento del peso
específico de los aspectos culturales y conductuales por cuanto:
• Ahora se ubican en el apartado 5.1 Liderazgo y co
compromiso
mpromiso, mientras que el apar-
ap ar-
tado equivalente en el anterior estándar ISO 19600:2014
1 9600:2014 estaba tratado en el
apartado 7.3.2.3 Cultura de compliance, diluido en los contenidos del apartado
7.3 Toma de conciencia y, por tanto, en un contexto muy discreto.
• El actual apartado 5.1.2 Cultura de compliance aumenta su desarrollo con tres
actual apartado
párrafos, que van dirigidos a colectivos diferentes. El primero, es relativo
al desarrollo,
que la orga
organizac
nización
el mantenimiento
afecta a toda ión . yEllasegundo,
promoción la cult
cultura
estáderelacionadoura con
de com
complia
pliance
nce ,
la fijación
II.5 Liderazgo 165
de unos parámetros de con conduc

ducta
ta comunes (valores), que afecta al órg
órgano
ano de
gobi
go bier
erno
no y alt
altaa dire
di recc
cció
iónn, en línea con lo establecido en el apartado 5.1.1
Órgano de gobierno y alta dirección. El tercero está enfocado a promover y
dirección,137 en general, encajando bien con la com
dar apoyo a comportamientos alineados con compli plianc
ancee ydelvallamado
dirigido a la
promoción “tone
at the
t he midd
middle
le”138.
MÁS INFORMACIÓN. El llamado “ tone at the middle”.

El denominado “tone
“tone at the middle”
middle” está igualmente comentado en el apartado
II.5.1.1 Órgano de gobierno y alta dirección,
dirección , de este libro.
A pesar de la importancia cultura de la organiz

importancia de la cultura organización
ación, el estándar ISO 37301:2021
no establece abiertamente su medición, dadas las diferentes aproximaciones metodo-
lógicas que pueden emplearse al respecto139. No obstante, es una actividad implícita
en el apartado 9.1.3 Desarrollo de indicadores, en un doble sentido:
• En cuanto se incluyen dentro de los ob
obje
jetitivo
voss de co
compl
mplia
ianc
ncee aspectos cul-
turales, procederá establecer indicadores que permitan med medir ir su
su grado de
consecución.
137 El término “ management ” no se encuentra definido y se utiliza en su acepción coloquial, abar-

cando a cualquier cargo que tenga encomendadas responsabilidades de gestión y que no solo incluye
al órgano de gobierno y la alta dirección, sino también, a otros cargos directivos o intermedios en la
jerarquía
jerarqu ía organizativa
organizativa..
138 Existe la tendencia a pensar que impulsar el tono ético es cuestión que atañe exclusivamente a
la cúpula directiva, que juega un rol relevante para el establecimiento y el mantenimiento de una
adecuada cultura coroperativa. De esta apreciación surgen los términos “tone at the top” o “tone
from the top ”. Sin embargo, desempeñan un rol capital el resto de directivos y cargos intermedios
en la traslación de este compromiso a todos los niveles de la organización. A partir de su interacción
directa con otros encargados de la gestión operativa, están en disposición de trasladar y reforzar la
importancia de una cultura ética y alineada con el cumplimiento de las normas. Sin su intervención
activa, existe el riesgo de la rotura de esta cadena de transmisión, de modo que el compromiso con
el compliance no se comunique bien en toda la organización , especialmente si directivos y cargos
intermedios muestran una conducta indolente o incluso, crítica. De ahí la importancia de que
impulsen o motiven los comportamientos adecuados.
139 Ya en el año 2007, el profesor Muel Kaptein mostraba su modelo para medir y testear la cultura
ética de las organizaciones ( Developing
Developing and Testing a Measure for the Ethical Culture of Organizations:
The Corporate Ethical Virtues Model). Algunos años más tarde (2013), DeBode, Armenakis, Field y
Walker
Walker publicar
publicaron
Organizational on u
un
n mo
modelo
Culture: delo mejorado
Refinement para).medir
of a Scale la 2019,
El año cu
cultura
lturaelde llas
as organizaciones
Institut of Internal (
Assessing publicó
Auditors Ethical
Ethical
su Guía práctica para auditar la cultura de las organizaciones , con un enfoque basado en los riesgos.
Estas fórmulas demuestran que medir la cultura de las organizaciones es posible, aunque no existe
una metodología generalmente aceptada al respecto.


compliance según
anterior, dada la criticidad de una adecuada cultura de

• Con independencia de lo anterior,
compliance
complian ce para el correcto desempeño del sistema de gestión, procede igualmente
seguir su
su evolución.
El apartado A.5.1.2 Cultura de compliance del anexo A (informativo) Guía para el
uso de este documento, ilustra una serie de evidencias que permiten sacar conclusiones
concl usiones
acerca de la existencia de una correcta cultura de comp
compliance
liance, siguiendo así una aproxi-
mación indiciaria. Para evitar dificultades prácticas, la exigencia al órgano de gobierno
y alta dirección
direc ción no es abstracta, concretándose en la fijación de unos parámetros de
conducta claros que faciliten desarrollar conductas alineadas con el compliance .
A CONSIDERAR.
CONSIDERAR . Evalu
Evaluación
ación in diciaria de la cultura de compliance.
indiciaria
La aproximación indiciaria consiste en concluir sobre la existencia de la cultura
de compliance
de compliance a partir de diferentes elementos constatables empíricamente,
cuya concurrencia permite inducir racionalmente la l a existencia de una voluntad e
intencionalidad en el establecimiento, el mantenimiento o la mejora de la cultura
organizativa. Cuantos más elementos concurren, mayor es la certidumbre en
cuanto a la adecuada cultura de la organización
organización.. El apartado A.5.1.2 Cultura de
compliance del
compliance del anexo A (informativo) Guía para el uso de este documento
documento,, desa-
rrolla una aproximación indiciaria al listar una relación enunciativa de evidenc
evidencias
ias
que permiten concluir sobre la existencia de una adecuada cultura corporativa.
A CONSIDERAR.
CONSIDERAR. Evaluac
Evaluación a cultura de compliance sobre la base de
ión de lla
opiniones.
La existencia de una adecuada cultura de
de compliance
compliance puede
puede también evaluarse
a partir
de de las
la base de opiniones
considerarvertidas
que, si por diferentes
la mayor partecolectivos. Esta mecánica
de los sujetos parte
que mantienen
vínculos con la organización
organización corroboran
corroboran su adecuada cultura, es muy probable
que efectivamente exista. Y el nivel de probabilidad se incrementa cuantas más
opiniones se tengan en consideración y más variado sea su perfil de los sujetos
que las emitan. En líneas generales, estas metodologías se basan en:
• La elaboración de cuestionarios que planteen cuestiones clave para constatar
la existencia de una efectiva cultura de compliance.
compliance.
• La selección de una muestra estadísticamente relevante, no solo por categorías
del personal
personal,, sino también fuera de ella (clientes, proveedores e incluso com-
petidores, cuando es posible).
• El empleo de una técnica de recopilación de información y análisis de datos
que garantice la confidencialidad y la razonabilidad de las conclusiones, en
cuanto a la extrapolación del resultado de la muestra como conclusión válida
para la organización
organización en
en su conjunto.

II.5 Liderazgo 167
II.5.1.3 Gobernanza del compliance

A diferencia del apartado anterior, que, como hemos visto, se dirigía a varios colec-
tivos, el presente incluye un mandato expreso
ex preso y exclusivo a las máximas instancias de
la gestión social: el órgano de gobi
gobierno
erno y la alta direcci
di rección
ón. Los aspectos clave para el
gobierno de complianc
compliancee les incumben especialmente y evidencian su liderazgo. Esto
explica que estos contenidos, ya recogidos en el anterior estándar ISO 19600:2014,
19 600:2014,
hayan migrado del antiguo apartado 4.4. Sistema de gestión de complia compliance
nce y princi
princi--
pios de buen
bue n gobier
gobierno
no (dirigido a “la organi
organizació
zaciónn”, sin especificar destinatarios) y se
ubiquen ahora en un apartado propio, dentro de 5.1 Liderazgo y compromiso.
El apartado 5.1.3 Gobernanza del compliance aborda aspectos relevantes para un ade-
cuado gobierno del sistema de gestión de compliance. Por tanto, no hemos de buscar
en él recomendaciones generales de buen gobierno corporativo, sino tres requisitos
concretos:
• Acceso directo al órg
órgano
ano de gob
gobier
ierno
no. Dada la relevancia de los aspectos de
compliance para el buen gobierno de las organizaciones, es lógico pensar que la
función de compliance
compliance tenga garantizado un acceso rápido y fluido a los máximos
órganos de gestión social. Cuanto más alejada se encuentre de ellos, más difícil
será informar y reaccionar con celeridad si es necesario. Por otra parte, desde
la perspectiva de los propios órganos de gobierno, es importante recorda
recordarr que
mantenerse bien informados y supervisar el entorno de control no es solo un
derecho,, sino también una
derecho u na obligación en muchos ordenamientos jurídicos.
El acceso al órgan
órganoo ddee ggobier
obierno
no puede ser inmediato (dependencia funcional
directa), pero también mediato, a través de una comisión delegada 140 que
141
tengamotivo
Por encomendadas funciones
de especialidad, de supervisión
la función vinculadas
de compliance
compliance puedecon el compliance
entonces terminar.
reportando al más alto órgano de gobierno a través de dicha comisión.
140 Es
importante señalar la diferencia técnica entre “comisión” y “comité”, diferenciación en
ocasiones confusa por la traducción inadecuada del término anglosajón “ committee ”. Una comi-
sión delegada del consejo está formada por administradores sociales (consejeros), con especial
dedicación a determinadas materias. Tal circunstancia no sucede en los “comités”, en cuyo seno se
pueden integrar a otros perfiles que no ostenten la cualidad de administradores sociales. Cuando el
estándar se refiere al informe directo al órgano de gobierno, puede entenderse cumplido a través de
alguna de sus “comisiones” específicas (normalmente la de auditoría), puesto que forman parte del
Consejo de administración, circunstancia
circunstancia que podría no concurrir en caso de reportar o depender
funcionalmente de un “comité”, que podría no equivaler a un acceso directo al órgano de gobierno.
141 Existe una marcada tendencia a atribuir a la comisión de auditoría la supervisión del entorno de
control, no solo sobre la información financiera y los informes derivados, sino también, sobre la no
financiera, incluyendo materias dentro del alcance del sistema de gestión de compliance.


compliance según
A CONSIDERAR.
CONSIDERAR. Modelos de gobierno corporati
corporativo
vo monistas y duales.
En muchos países, la cúspide jerárquica de una organización
organización concluye
concluye en
su órgano de gobierno.
gobierno. Son los llamados “modelos monistas” donde existe
un órgano máximo de gobierno al que confluyen necesariamente el resto de
órganos sociales.
Otros países, como es el caso de Alemania y Francia, optan por modelos de
naturaleza dual, especialmente para determinado tipo de organizaciones
organizaciones,, donde
la “cúspide” jerárquica no termina en un solo
sol o órgano, sino en dos: uno de gestión
y el otro de vigilancia. A diferencia de los modelos monistas, dicho órgano de
vigilancia no está supeditado al máximo órgano de gobierno,
gobierno, sino que ocupa el
mismo nivel jerárquico y actúa como “contrapoder”, evitando las capacidades
de gestión omnímodas que, de otro modo, corresponderían al máximo y único
órgano de gobierno social.
gobierno social. Con frecuencia forman parte de este órgano de su-
pervisión –paralelo al de gobierno– ciertos grupos de interés de la organización
organización,,
incluyendo los representantes trabajadores.
En los modelos monistas, está claro que la función de
de compliance
compliance terminará
terminará de-
pendiendo funcionalmente y reportando al único órgano de gobierno,
gobierno, mientras
en los modelos dualistas acabará haciéndolo a ambos, paralelamente.
El acceso al órgano de gobierno por parte de la función de compliance

compliance no solo significa
fijar esa línea de información directa, sino también, organizar la elevación de informes
periódicos y la eventual participación en sus reuniones (así se indica en la nota 1
de dicho apartado, que no estaba presente en el apartado 4.4 Sistema de gestión del
compliance y principios de buen gobierno del estándar ISO 19600). Desde luego, no se
pretende promover que la función de compliance
compliance se convierta, por la vía de hecho142,
en partícipe
sibilidad natural dey las
de informar reuniones
explicar ante él órgano
dellos de gobierno
aspectos , pero sírelevantes.
que considere que tenga Como
la po-
se explica al tratar el apartado 5.1.1 Órgano de gobierno y alta dirección, mantenerse
informado es una obligación que atañe a estas instancias y, por tanto, deben poner
los medios para darle debido cumplimiento.
142 Puesto que los requisitos del estándar deben interpretarse dentro del marco legal aplicable a la
organización
, no puede
el derecho positivo. Porimponer o condicionar
consiguiente, la composición
cabe interpretar de los –como
este requisito órganoselde gobierno
resto que fije
de los requisi-
tos de un estándar privado– de acuerdo con lo establecido por el marco de regulación aplicable al
tipo de entidad. Véanse los comentarios adicionales que figuran en el apartado I.6.2.1 Principio de
de
subordinación a Ley, de este libro.

II.5 Liderazgo 169
MAS INFORMACIÓN. “Duty of enquiry ””..

En relación con la diligencia de los administradores sociales y, en particular, el
llamado “duty
“duty of enquiry”,
enquiry”, véanse las explicaciones que se recogen en el apartado
II.5.1.1 Órgano de gobierno y alta dirección,
• Independencia de la funci
función
ón de compliance
compli ance . En algunos países se habla de la
importancia de la autonomía y de la independencia de la función de compliance
compliance
como elementos característicos diferenciados. La autonomía guarda mayor
relación con las capacidades operativas de la función, de modo que puedan
desempeñarse proactivamente sin necesidad de mandatos o autorizaciones
continuas; mientras que la independencia está más vinculada a la neutralidad
de juicio, de modo que no se vea conculcado
co nculcado su recto proceder por presiones
de diferente índole. Desde esta perspectiva, la funció
complia nce puede ser
autónoma,
elementos. pero no independiente y viceversa. Su eficacia precisa de ambos
EJEMPLO. Independencia, pero falta de autonomía.

La función de
de compliance
compliance puede
puede ocupar una posición jerárquica destacada,
dependiendo funcional y jerárquicamente de un órgano de gobierno que
gobierno que integre
un grupo nutrido de perfiles
perfi les independientes. Es una garantía de que su proceder
no se verá condicionado por intereses de otras funciones, áreas o colectivos,
eventualmente distintos de los de compliance
compliance..
Sin embargo, si su actuación está supeditada a obtener autorización previa
(sea porque precisa ser mandatada, o porque necesita que le sean dispen-
sados recursos para cada una de sus actuaciones, por ejemplo), carecerá de
autonomía.
EJEMPLO. Autonomía, pero falta de independencia.

La función de
de compliance
compliance puede
puede disponer de facultades explícitas para desa-
rrollar sus cometidos (acceso a las informaciones y a las personas que precise
por motivo del ejercicio de sus competencias) e incluso un presupuesto bien
dimensionado y de libre disposición (supeditado a la rendición de cuentas.
Sobre este particular, véanse los comentarios en el apartado I.6.1.5 Principio
de responsabilidad,
responsabilidad, de este libro), pero depende jerárquica y funcionalmente
funcional mente de
un área o función con unos marcados intereses económicos en el corto plazo.
Tal circunstancia puede privar de emitir su opinión a dicho órgano superior,
cuando es contraria a un interés
i nterés cortoplacista, e incluso, temer represalias en
caso de hacerlo.


compliance según
El antiguo estándar ISO 19600:2014 hacía referencia tanto a la autonomía

como a la independencia de la función de compliance143, mientras que el están-
dar ISO 37301:2021 solo se refiere a la independencia, pero como concepto
amplio que engloba al anterior. Aunque el contenido de este apartado parece
referirse a aspectos vinculados con la neutralidad en la toma de decisiones 144
(independencia), el apartado A.5.1.3 La gobernanza del compliance del anexo A
(informativo) Guía para el uso de este documento cita, como ejemplos, aspectos
claramente encuadrables como factores de autonomía.
• Autoridad y competencia de la funci
función
ón de compliance
compl iance que, nuevamente, son
aspectos que dependen del órgano de gobierno y la alta dirección : la autoridad,
ubicando a la función de compliance
complianc e en un lugar apropiado del organigrama,
dotándole de capacidades para desarrollar su cometido y otorgándole legiti-
midad de forma visible; la competencia, asegurando el perfil adecuado de los
integrantes de dicha función, en términos de formación y experiencia, de modo
que puedan hacer buen uso de su autoridad (véase la figura 15
15).
).
Acceso directo
directo al órgano de gobierno
Gobernanza del
Independencia (comprende autonomía)
compliance
Autoridad y competencia
Figura 15.
atraviesan porLasgarantizar
claves detres
un adecuado gobierno en materia
aspectos fundamentales deacompliance
respecto la función de
compliance: acceso directo al órgano de gobierno, independencia (incluyendo
autonomía) y asegurar que dispone de la autoridad y competencias precisas
para ejercer su rol.
143 Aunque la redacción del antiguo apartado 4.4 Sistema de gestión del compliance y principios de
buen gobie
gobierno
rno solo se refería a la “independencia” (al igual que el actual apartado 5.1.3 Gober-
nanza del compliance ), el antiguo apartado 5.2.1 Generalidades
Generalidades (dentro del apartado 5.2 Política de
compliance
complia nce) sugería mencionar en ella el grado de autonomía e independencia de dicha función.
144
Así parece inferirse, a primera vista, del redactado de la nota 2 de este apartado, que no estaba
presente en el apartado 4.4 Sistema de gestión del complia
compliance
nce y princ
principios
ipios de buen ggobierno
obierno del estándar
ISO 19600:2014. Sin embargo, el apartado A.5.1.3 La gobenanza del compliance del anexo A (in-
formativo) Guía para el uso de este documento incluye ejemplos claramente vinculados con la libertad
operativa (autonomía), tales como comunicarse con cualquier persona o persona de la organ organización
ización.

II.5 Liderazgo 171
No cabe duda que estos aspectos

aspectos de gobierno otorgan unas capacidades
capacidades notables
notables a la
compliance que deberá ejercer con prudencia, atendiendo a los principios
que informan el estándar ISO 37301:2021 y muy especialmente al de responsabi-
lidad en su acepción de rendición de cuentas (véase el apartado I.6.1.5 Principio de
de
responsabilidad, de este libro).
II.5.2. Política de compliance

Aunque la política de compliance es uno de los elementos que componen el sistema
de gestión, en los textos sobre compliance adquiere una dimensión especialmente re-
levante145. Guías internacionales de amplia difusión subrayan el rol de las políticas y
procedimientos como pilares de un programa de compliance146.
Por ello, como he señalado anteriormente (véase el apartado II.5.1.1 Órgano de de
gobierno y alta dirección, de este libro), su establecimiento es un mandato explícito a
los máximos órganos de gestión social. Por otra parte, tanto la promoción como la
represión
represión de determinadas conductas, pueden interpretarse como actos caprichosos
o arbitrarios en ausencia del establecimiento previo de ciertos patrones conductuales,
claros y bien comunicados.
145 Son numerosos los textos internacionales que se refieren a la necesidad de normas internas
que plasmen la voluntad de la organiz
organización
ación en la lucha contra conductas ilícitas y establezcan los
parámetros de conducta esperados. Así, por ejemplo, la Guía de buenas prácticas para los controles
internos, la deontología y la conformidad, que se localizan en el anexo II de la Recomendación
Recomendaci ón OCDE
para fortalecer la lucha contra el cohecho,
c ohecho, de 26 de noviembre de 2009, establece la necesidad de
“una política interna claramente formulada y visible por la que se prohíbe la corrupción transna-
cional” (numeral 2 de su apartado A). En los estándares ISO sobre complia compliance
nce, la necesidad de
una políti
política
ca forma además parte de los condicionantes de la HLS.
146 La distinción entre políticas y el resto de procedimientos se aprecia claramente en textos reconoci-
dos a nivel internacional. La Reso Resource
urce Guide to the US Foreign Corr
Corrupt
upt Prac
Practice
ticess Act publicada
publicada
por el Department of Justice and the Enforcement Division of the US Securities and Exchange
Commission, el 14 de noviembre de 2012, hace referencia, no solo al Código de Conducta, sino
también, a las políti
políticas
cas de compliance (apartado Corporate Compliance Program en su p. 57). Lo
mismo sucede en la Guidance about procedures which relevant comercial organisations can put into
place to prevent persons associated with them from bribing (Section 9 of the Bribery A
Act,
ct, 2010), publicada
por el Ministry of Justice británico en marzo de 2011, cuando señala que el término “ procedures ”
engloba tanto las políticas como los procedimientos , en sentido estricto, para darles cumplimiento.
El indicado término “ procedures ”, en la interpretación extendida que realiza el documento, sería
equivalente a los “ standards and
and procedur
procedures
es” que se citan en el Guidelines Manual de la US Sentencing
Commission , vinculados al establecimiento de parámetros conductuales.


compliance según
El apartado 5.2 Política de compliance

compli ance resume y aglutina los contenidos que antes
aparecían indicados en los apartados 5.2.1 Generalidades y 5.2.2 Desarrollo del an-
tiguo estándar ISO 19600:2014. En este proceso de racionalización y adecuación a
un entorno certificable, una parte de su texto pasa a ubicarse en el apartado A.5.2
Política
Política de compliance
compliance del anexo A (informativo) Guía para el uso de este documento. Se
privan así de contenido normativo algunas indicaciones
indicaciones que, siendo buenas prácticas,
podían tener difícil encaje como exigencias en un MSS de tipo A (certificable) como,
por ejemplo, someter la política a consultas con los trabajadores.
La polít
política
ica indicada en este apartado enmarca la voluntad y el compromiso de la
organizaci
orga nización
ón con el compli
compliance
ance . Es un documento que denota su intencionalidad,
manifestada a través sus máximas instancias de gestión social: por este motivo, su
fijación constituye un mandato directo al órgano de gobierno y la alta dirección.
EJEMPLO. Aprobación formal de la política de compliance

La operativa de los órganos de gestión social más elevados suele someterse
a determinadas formalidades legales, para dejar constancia
constanc ia de las decisiones
adoptadas. La aprobación o la modificación de la política de de compliance
compliance
precisarán haberlas contemplado, lo que normalmente dará lugar a la forma-
lización de un acuerdo del órgano de gobierno en
gobierno en tal sentido, que quedará
reflejado en acta correspondiente dentro de los libros y los registros oficiales
de la organización
organización..
MÁS INFORMACIÓN. Formalización de los pilares esenciales del sistema

de gestión.
En relación con la formalización, no solo de la política de
de compliance
compliance sino
sino de
otros elementos clave que conforman el sistema
el sistema de gestión y
gestión y muestran el com-
promiso del órgano de gobierno y
gobierno y de la alta dirección en
dirección en esta esfera, véanse
los comentarios y los ejemplos que figuran en el apartado II.5.1.1 Órgano de
gobierno y alta dirección,
Este apartado explica la política de compliance

compliance atendiendo a:
• Cuestiones a considerar por el órgano de
d e gobi
gobierno
erno y alta dirección
dire cción a la hora de
formularla y aprobarla.
formularla y aprobarla.
• Aspectos que condicionan su contenido.
• Materias relacionadas
relacionadas con su custodia y comunicación.

II.5 Liderazgo 173
Aspectos a considerar por el órgano de gobierno

y la alta dirección
• Como consecuencia de la aplicación de lo establecido en el capítulo 4 Con-
texto de la organización (véase el capítulo II.4 Contexto de la organización, de
este libro) del estándar ISO 37301:2021, e igualmente relacionado con una
correcta aplicación del principio de proporcionalidad (consúltese el apartado
I.6.1.2 Principio de propor
proporcionalidad
cionalidad, de este libro) y un enfoque basado en el
riesgo (consúltese el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro),
la política de compliance debería ser apropiada al objeto de la organización.
A CONSIDERAR. Cada organización necesita una polít

política
ica ceñida a sus
circunstancias.
Aunquee el cont
Aunqu contenid
enidoo de la política de compliance
compliance está
está establecido en el es-
tándar ISO 37301:2021, su adaptación concreta a las circunstancias internas
y externas de cada organización
organización dará
dará lugar a textos muy variados. Así, tanto
el nivel de desarrollo de los contenidos como la forma de expresarlos pueden
ser sustancialmente distintos entre organizaciones
organizaciones,, a pesar de que todos los
documentos cubran los requisitos
requisitos contemplados
contemplados en el apartado 5.2 Política de
compliance..
compliance
CONSIDERAR. El idioma y el lenguaje de las políticas.

A CONSIDERAR.
La existencia de políticas
políticas –incluida
–incluida la de compliance
compliance–– en las organizaciones
organizaciones no
no
constituye un requisito puramente formal, sino que busca difundir con claridad
la voluntad de la organización
organización y y los patrones de conducta
conducta derivados
derivados de ella. La
mera existencia de políticas
políticas es
es completamente estéril, si no son conocidas y res-
petadas por sus destinatarios. En ocasiones, esto no sucede por diversos motivos,
incluyendo su redacción en un idioma o lenguaje alejados al del lector medio.
Es un error frecuente redactar políticas
políticas complejas,
complejas, repletas de tecnicismos, si sus
destinatarios no están preparados para leerlas y comprenderlas correctamente.
En ocasiones, estas dinámicas se generan con el afán de ofrecer una imagen
profesional ante las autoridades o el público en general. Las Administraciones
Públicas son cada vez más más críticas con documentos complejos que interpretan
distantes a sus usuarios y, por tanto, ineficaces.
A CONSIDERAR.
CONSIDERAR. El tiempo verbal de la política.
La política de compliance
compliance –como
–como la mayor parte de políticas
políticas en
en las organiza-
ciones–– no son meras declaraciones de intenciones o programas de actuación
ciones
futura, sino textos con dimensión normativa desde el momento de su aprobación


compliance según
y difusión. Por tanto, su articulado no suele abusar de tiempos verbales futuros

(“la organización
organización designará…”,
designará…”, “se establecerán los cometidos de…”, etc.),
empleando los presentes (“la organización
organización designa…”,
designa…”, “se establece…”, etc.).
• La política de compliance debe configurar un marco apropiado para la determi-

nación de los objetivos de compliance de la organización. Algunas declaraciones
típicas de estos documentos (la tolerancia cero a los no cumplimientos de com-
com-
pliance , por ejemplo) suelen interpretarse como objetivos de complian
compliance
ce. En
verdad, más bien conforman el marco
marco para susu establecimiento,
establecimiento, que el estándar
ISO 37301:2021 configura como una de las actividades a planificar, en el
apartado 6.2 Objetivos de compliance y planificación para lograrlos, del capítulo 6
Planificación. En líneas generales, este marco para la fijación de objetivos
obj etivos estará
determinado por declaraciones de la voluntad de la organiz
organización
ación dotadas de
estabilidad espaciotemporal147, que permitirán fijar periódicamente objetivos
sin necesidad de modificar constantemente la política de compliance
compliance148.
CONSIDERAR. Política de compliance y objetivos de compliance.

A CONSIDERAR.
Al igual que las organizaciones
organizaciones preparan
preparan sus objetivos
objetivos comerciales,
comerciales, financie-
ros, etc. (normalmente, con periodicidad anual y dentro de la planificación
presupuestaria que antecede a cada ejercicio social), también es razonable
pensar en la necesidad de fijar igualmente los objetivos
objetivos de
de compliance
compliance:: así lo
determina el apartado 6.2 Objetivos de compliance y planificación para lograr-
los,, del estándar ISO 37301:2021. Sin embargo, el establecimiento de estos
los
objetivos,, tanto estratégicos como tácticos u operativos, debe situarse dentro
objetivos
del marco que determina la política de
de compliance
compliance.. Figurarán en ella aspectos
fundamentales, dotados de la estabilidad espaciotemporal, como pueden ser
la tolerancia
excelencia encero a los noética
una cultura cumplimientos
y de respetode
dea compliance
compliance,
las normas,, etc.
la búsqueda de la
147 La estabilidad espacial se refiere a disminuir la necesidad de modificar el contenido de los

docu-
mentos en virtud de las geografías en donde vaya a aplicarse. La temporal se refiere a disminuir
la necesidad de modificar dicho contenido en periodos cortos de tiempo. Es aconsejable que los
documentos estratégicos o generales de compliance , como esta política, garanticen una estabilidad
suficiente que permita asentar sus contenidos. Por el contrario, otros documentos derivados sí
precisan de su variación frecuente para adaptarse a circunstancias concretas
conc retas del entorno y tiempo,
dentro del marco estratégico o general previamente definido.
148 Puesto que los objetivos que indica el apartado 6.2 Objetivos de compliance y
y planificación
planifica ción para
han de ser medibles y objeto de seguimiento, su nivel de concreción es mayor que las
lograrlos
declaraciones estratégicas que fija la política de compliance
compliance como marco interpretativo general. Estos
objetivos detallados evolucionarán con el transcurso del tiempo para adaptarse a las necesidades
de la organización y reducir en lo posible el riesgo residual en los diferentes ámbitos de proyección
del sistema de gestión de compliance .

II.5 Liderazgo 175
MÁS INFORMACIÓN. Objetivos de compliance estratégicos y tácticos u

operativos.
En relación, tanto con el marco de fijación de objetivos
objetivos de
de compliance
compliance como
como con
los objetivos
objetivos estratégicos,
estratégicos, tácticos u operativos que se derivan de él, véanse las
explicaciones del apartado II.6.2 Objetivos de compliance y planificación para
lograrlos,, de este libro.
lograrlos
• Las obl
obliga
igacicione
oness de compli
co mplianc
ancee incluyen, tanto las que la or
organ
ganiza
izacióciónn debe
cumplir como aquellas otras que elige voluntariamente cumplir149. La polític políticaa
de compliance establecerá el compromiso de la organiza
organización
ción con observar estos
dos conjuntos. Con independencia de esta manifestación general, se hará
referencia
refer encia especial a las vinculadas “ principales” ries
v inculadas con los “principales” riesgos
gos de compliance
compli ance,
según determina el apartado 4.3. Determinación del alcance del sistema de gestión
del compliance
co mpliance 150.
A CONS
CONSIDERIDERAR.
AR. Con
Concrec ión de las obligaciones de compliance en la
creción
política de compliance.
El apartado 4.3. Determinación del alcance del sistema de gestión del compliance
comp liance
apunta que debe proyectarse sobre los “principales” riesgos
riesgos de
de compliance
compliance que
que
afronta la organización
organización,, que no son necesariamente todos. Puesto que la política
de compliance
compliance plasmará
plasmará el compromiso de la organización
organización con
con el cumplimiento
de las obligaciones de compliance,
compliance, es un buen lugar para concretarlas, en el
contexto de la delimitación el alcance del sistema
del sistema de ge
gestión
stión (y
(y,, por consiguiente,
consigu iente,
de la política de
de compliance
compliance),), incluyendo su perímetro técnico.
De este modo, la política de
de compliance
compliance puede
puede contener una declaración
general acerca
pliance que
pliance que del compromiso
resulten de aplicacióndearespetar todas las obligaciones
las y obligaciones
la organización
organización y sus actividades;de com-
de pero
también, una concreción de aquellas sobre las que se proyecta el sistel sistema
ema ddee
gestión,, por su nivel de criticidad –capacidad de conformar riesgos
gestión riesgos “princi-
“princi-
pales”–. Puesto que tanto los “principales” riesgos
riesgos como
como las obligaciones de
149 A diferencia de su precedente ISO 19600:2014, el estándar ISO 37301:2021 no define “Com-
pliance requirement
requiremen t ” y “Compliance committment ”, ”, aunque mantiene esta diferencia conceptual
concept ual en
la definición de “Compliance obligation”. Sobre esta materia, véanse los comentarios en el apartado
II.3.25 Obligaciones de compliance
complia nce, así como los que figuran en el apartado I.5.2 Las dos fuentes
fuentes
de obligacione
obli gacioness de ccomplianc
ompliancee, ambos de este libro.
150 Por tanto, se incluye la determinación de los grupos de obligaciones
obligaci ones que provocan una mayor
exposición a riesgo s de compli
compliance
ance . Sobre este particular, véanse los comentarios en el apartado
II.4.3 Determinación del alcance dedell sistema de gestión del co
compliance
mpliance, de este libro.
li bro.


compliance según
compliance vinculadas con ellos pueden agruparse por materias, es posible

compliance vinculadas
hacer referencia a los bloques concretos que delimitan el perímetro técnico
del siste
del sistema
ma de gesti
gestión
ón.. Así, por ejemplo, son grupos comunes los referentes
a la prevención de conductas penales (de la corrupción o del blanqueo de
capitales, en particular), la defensa de la privacidad (incluyendo la protección
de datos personal
personales),
es), la defensa de la competencia, la regulación específica
del sector o actividad, etc.
MÁS INFORMACIÓN. Perímetro técnico del sis

sistem
temaa de ges
gestió
tiónn de compliance.
En relación con el perímetro técnico del sistema
gestión d
dee compliance
compliance,, véanse
las explicaciones y los ejemplos que se incluyen en el apartado II.4.3 Determinación
del alcance del sistema de gestión del compliance,
• Puesto
debe serque el siste
capaz sistema
de ma de gesti
gestión
adaptarse aónlas
de compliance
compli ance nodeeslaestático,
d ecircunstancias sino
organización
organiza dinámico,
ción y mejorar
continuamente. La política de compliance hará referencia a este proceso, alineado
con las exigencias del capítulo 10 Mejora.
EJEMPLO. Revisiones planificadas y sobrevenidas.

El sistema
El sistema de gestión de
compliance y
y la política de compliance
compliance como
como elemento
destacado en su seno, deben ceñirse a las circunstancias de cada organización
organización..
Como se explica al inicio del apartado II.4 Contexto de la organización,
organización, de este
libro, el modo habitual de hacerlo es considerando dos tipos de revisiones:
• Las planificadas, que se desarrollan sistemáticamente cada cierto tiempo, aun-
aun -
que no se haya producido ningún cambio en la organización
organización o
o en su entorno.
• Las sobrevenidas, que se llevan a cabo cuando se produce un cambio en las
circunstancias internas o externas de la organización
organización,, o cuando se produce un
incidente en materia de compliance
compliance..
compliance apunta
apunta la importancia de mejorar continuamente el
sistemaa de gestió
sistem gestiónn y puede hacer referencia a este tipo de revisiones o a los
documentos donde se establezcan.
MAS INFORMACIÓN. Mejora continua y revisiones del sistema de g

gestión
estión.
Acerca de la
lass rrevisiones
evisiones tanto planificada
planificadass co
como
mo ssobrevenidas
obrevenidas del
del sistema
sistema de
gestión dee compliance
gestión d compliance,, véanse los comentarios y los ejemplos contenidos al inicio
del apartado II.4 Contexto de la organización y
organización y que se reproducen en el apartado
II.5.3.2 Función de
de compliance
compliance,, ambos de este libro.

II.5 Liderazgo 177
Condicionantes de su contenido
• La polí
política
tica de compliance guarda consistencia con el conjunto de valores
val ores y patrones
de conducta de la organi
organización
zación, incluyendo los que se citan en los apartados 4.4
Sistema de gestión del compliance y 5.1.2 Cultura de compliance. Esto produce una
alineación natural del contenido de la pol
polític
íticaa de com
compli
plianc
ancee con los valores, obj
objetiv
etivos
os
y estrategia de la organización, como también exige el estándar en el apartado
5.1.1 Órgano de gobierno y alta dirección del estándar ISO 37301:2021.
• Igualmente, la política de compliance debe contener una llamada general al cum-
plimiento de las obliga
obligaciones
compliance. El estándar no precisa los destinatarios
de este mandato, que serán, por tanto, el personal y aquellas terceras partes a las
que se pueda exigir el cumplimiento con sus contenidos.
MÁS INFORMACIÓN. Ámbito de aplicación de la política de compliance.
El
dealcance de la política
gestión dentro
gestión dentro del cualdese
compliance guardará
compliance guardará
integra. Por consistencia
consiguiente, véansecon
las el del sistema
del sistema
explicaciones
y los ejemplos que se incluyen en el apartado II.4.3 Determinación del alcance
del sistema de gestión del compliance,
Los principios que se indican en el apartado 5.1.3 Gobernanza del compliance estarán

presentes en la política de compliance. Por tanto, dejará claro que:
• La función de compliance
compliance disfruta de acceso directo al órgano de gobierno.
• Está dotada de independencia
independencia para desarrollar
desarrollar su cometido.
cometido.
• Goza, además, de la autoridad y facultades neces
necesarias
arias a tales efectos.
MÁS INFORMACIÓN. Designación y empoderamiento de la función de

compliance.
En relación con los aspectos clave de gobierno que deben quedar reflejados en la
política de compliance
compliance,, véanse los comentarios y los ejemplos recogidos en el apartado
II.5.1.3 Gobernanza del compliance,
compliance, de este libro. Igualmente, en cuanto a la desig-
nación formal de la función de
de compliance
compliance y
y cómo dichos factores quedan reflejados
en las formalidades asociadas con ese acto, véanse los comentarios y los ejemplos
del apartado II.5.1.1 Órgano de gobierno y alta dirección,
dirección, también de este libro.
• La pol
polítítica
ica de co
compl
mplian
iance
ce , como documento que plasma la voluntad de la
organizació
organi zaciónn, podría interpretarse como wishf
wishful
ul thinking si no se establecie
ran medidas organizativas que asegurasen su efectiva aplicación. Por ello, es
habitual en compli
compliance
ance que toda norma con mandatos (incluidos parámetros
conductuales
conduc tuales) indique también el órgano que vela para darles aplicación. En

compliance según
este sentido, la polític

políticaa de compli
compliance
ance hará referencia a la funció
compli ance
y la describirá.
A CONSIDERAR. Descripción de la función de compliance en la política

de compliance.
Que la política de compliance
compliance haga
haga referencia a la función de
de compliance
compliance,, no
significa que realice un establecimien
establecimiento
to exhaustivo de la misma, aspecto más
propio de otros documentos organizativos. Sin embargo, es importante que el
destinatario de la política
política adquiera
adquiera conciencia de su existencia mediante una
descripción que bien puede consistir en explicar su composición, dependencia,
cometido esencial y localización.
EN BUSCA DE LA EXCELENCIA. Acceso a informaciones, personas y

documentos.
Dentro de la descripción de la función de de compliance
compliance,, puede indicarse que los
destinatarios de la política
política tienen
tienen el deber de colaborar con ella, facilitando in-
mediatamente las informaciones, los documentos o el acceso a las personas que
precise con motivo del ejercicio de sus cometidos. Aunque este mandato puede
igualmente recogerse en otros lugares (por ejemplo, en el acuerdo del órgano
de gobierno designando
gobierno designando la función de compliance),
compliance), su plasmación en la política
política
contribuye a su conocimiento general.
• Fijar la voluntad de la organización y los parámetros conductuales es necesario,
pero
comono lassuficiente. Procede
Procede
consecuencias señalar
que se las de
derivan medidas organizativas
no observar adoptadas,
las obligaciones así
de com-
com-
pliance o las políticas, los procesos y los procedimientos relacionados con ellos. Es
l as consecuencias que produce, tanto un no cumplimiento de
decir,, se señalarán las
decir
compliance como una no conformidad (véase la distinción en el apartado I.5.3
Las no conformidades y los no cumpl
cumplimientos
imientos de comp
compliance
liance, de este libro).
l ibro). Aunque
podría pensarse que es un aviso dirigido al personal , en verdad, la política de
compliance puede estar a disposición de terceras partes, según señala este mismo
apartado más adelante. En la medida que puede resultar exigible a ambos co-
lectivos, conviene también recoger las consecuencias que derivadas para estos
dos grupos de destinatarios.
EJEMPLO. Elenco de medidas disciplinarias para el personal.
compliance puede
puede hacer referencia al marco jurídico-laboral de
aplicación, comprendiendo no solo normas legales, sino también, las disposiciones

II.5 Liderazgo 179
específicas derivadas de la negociación colectiva. Aplicará ante no conformidades

conformidades
como no cumplimientos de de compliance
compliance..
Cuando el marco jurídico-laboral lo permite, la organización
organización puede
puede plantearse
disponer de un capítulo especial o desarrollar el régimen sancionador en materia
de compliance
compliance.. No obstante, en ordenamientos jurídicos que brindan al Derecho
laboral un marcado carácter tuitivo respecto a los derechos de los trabajadores,
puede resultar complejo implementar regímenes sancionadores ad hoc. hoc.
Con independencia de lo anterior, es importante que el personal
personal adquiera
adquiera con-
ciencia de que también puede ser objeto de acciones de carácter civil o incluso
penal, en virtud de la naturaleza de sus no cumplimientos de
de compliance
compliance (incluso
(incluso
de medidas de carácter administrativo en entidades sujetas total o parcialmente
a Derecho público).
A CONSIDERAR.
CONSIDERAR. Modelos de incentivos y correctivos.
compliance debe
debe reflejar las “consecuencias” de no observar las
obligaciones de compliance o
compliance o las políticas
políticas,, los procesos
procesos y y los procedimientos
procedimientos
establecidos a tales efectos. Aunque
Au nque se asocia este requisito
requisito con
con la determinac
determinación
ión
de un régimen sancionador, en verdad las “consecuencias” pueden ser de índole
variada, incluidas las que no tienen necesariamente naturaleza sancionadora
en términos laborales y que van desde la reducción o la privación de ventajas
otorgadas voluntariamente por la organización
organización y y las no consolidadas (bonus
( bonus re-
re-
tributivo por encima de los parámetros legales exigibles), hasta la obligatoriedad
de asistir a ciclos de formación adicionales o formar parte de un programa de
mentoring,, por ejemplo.
mentoring
Aunq
Aunque
ue este apar
apartado
“consecuencias”
“consecuencias tado del de
” derivadas está
estándar
ndar
no ISO 3730
37301:20
conformidades1:2021
conformidades y
y no21cumplimientos
hace refe
referenc
rencia
ia acom-
de
de las
pliance,, también cabe reflexionar sobre la conveniencia de otorgar incentivos
pliance
para aquellas personas o colectivos que muestren conductas ejemplares, ha-
ciéndolos acreedores de beneficios no interpretables en clave de discriminación
hacia otros colectivos.
EJEMPLO. Elenco de medidas disciplinarias para terceras partes.

En la medida en que la política de compliance
compliance puede
puede ser de aplicación a ter-
ceras partes, también debería contemplar las consecuencias que pueden darse
para ellos ante casos de no conformidades o
conformidades o no cumplimientos de
de compliance
compliance..
No serán de carácter jurídico-laboral sino civil o mercantil (eventualmente, de
carácter administrativo, en caso de organizaciones
organizaciones total
total o parcialmente sujetas
de Derecho público).


compliance según
A CONSIDERAR.
CONSIDERAR. Principio de vinculación míni
mínima.
ma.
El principio de vinculación mínima declara que nadie puede quedar vinculado
por el contenido de un documento respecto al cual no ha manifestado su con-
sentimiento. La política de
de compliance
compliance es es una norma privada de la organización
organización
y, por tanto, su efectividad legal frente a terceras partes se ve afectada por este
principio. En el caso de que su contenido pretenda exigirse a terceros, conviene
reflexionar sobre el modo en que manifestarán su voluntad de acatar sus conte-
nidos. Normalmente, esto se consigue haciendo pública la política (en la página
web externa de la organización
organización,, por ejemplo) e introduciendo en las cláusulas
contractuales con mención explícita al deber de observar los mismos o valores
análogos a los publicitados en dicho documento, asumiendo las consecuencias de
no hacerlo (la suspensión o incluso,
i ncluso, la terminación de la relación contractual). Es
una solución que también se aplica a otros textos susceptibles de afectar a terceras
partes,, incluyendo el propio código ético o de conducta de la organización
partes organización.. Sobre
el modo práctico de aplicar el principio de transparencia (en relación con esta
materia, véanse
de este libro) quelosreconoce
comentarios en el apartado
el estándar I.6.1.4 Principio
ISO 37301:2021 en estedeámbito;
transparencia
transparencia,
véanse,
los comentarios y los ejemplos contenidos bajo el titular “Condicionantes
“ Condicionantes de su
contenido”” más adelante, en este mismo apartado.
contenido
• De un tiempo a estaesta parte se ha visto la importancia de incentivar el uso de ca-

ca-
nales para el planteamiento de inquietudes e irregularidades, así como de dotar
de un estatuto de protección a sus usuarios de buena fe. La “ Directiva europea
de protección
protección al de
denunci
nunciante
ante”151 es buena prueba de ello.
ell o. El antiguo estándar ISO
19600:2014 no se refería a esta materia como contenido necesario en la polít política
ica
de complian
compliance
ce, como sí lo hace ahora el estándar ISO 37301:2021, además de
establecer unas indicaciones básicas en su apartado 8.3 Plant
tudes. Por tanto, la política de compliance hará mención Planteamien
compliance eamiento
expresa to de inq
inquie-
y motivará uie-
este
tipo de comunicaciones, prohibiendo cualquier forma de represalia.
MÁS INFORMACIÓN. Canales para el planteamiento de inquietudes.

En relación con los canales dispuestos por la organización
organización para
de inquietudes (que incluyen los que son conocidos comúnmente como “canales
de denuncia”), así como sobre el estatuto de protección al denunciante de buena
fe, véanse los comentarios y los ejemplos que se recogen en el apartado II.8.3
Planteamiento de inquietudes,
151 Directiva (UE) 2019/1937 del Parlamen
Parlamento
to Europeo y del Consejo, de 23 de octubre de 2019,
relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

II.5 Liderazgo 181
• La política de compliance es un elemento importante del sistema de gestión, yy,, por

po r
eso, no solo debe constar escrita y como información documentada (véanse los
comentarios al concepto de Información documentada en el apartado II.3.10.
II.3.10.
Información documentada, de este libro. También los comentarios al apartado
7.5 Información documentada del estándar ISO 37301:2021 que figuran, bajo
este mismo título, en el apartado II.7.5 Información documentad
documentadaa, de este libro),
sino estar redactada en un lenguaje asequible a sus destinatarios (tanto para el
personal como a eventuales terceras partes). No es solo una cuestión de idioma,
sino también, de redacción. Recordemos que el personal se debe adherir a las
políticas de compliance que le afecten (véanse los comentarios que se recogen en
el apartado II.5.3.4 Personal
Personal, de este libro).
EN BUSCA DE LA EXCELENCIA. Soporte que facilite la comprensión de

los mensajes escritos.
La mejor política
política,, incluyendo la general acerca de compliance
compliance,, no es la más
extensa, sino la que se comprende mejor y facilita su cumplimiento. Esto su-
pone adecuar el idioma y el lenguaje a los destinatarios, así como recurrir a
técnicas que faciliten su entendimiento como ejemplos, gráficos, citas y otros
recursos. Como en la mayoría de aspectos del compliance
compliance,, el fondo prima
sobre la forma.
• Los contenidos de la política de compliance no constituyen un mero requisi

requisito
to
formal, sino que deben implementarse y hacerse cumplir. Además de explicitar
la
su reacción
contenidoinmediata
será objeto de no
ante conf ormidad
conformidad
desarrollo es y no
en otros cumplimientos
documentos de compliance
internos y formará,
parte de las actividades de gestión o supervisión de otros sujetos. Cuanto está
dicho en la política de compliance debería venir refrendado por evidencias que
acrediten su aplicación práctica.
A CONSIDERAR.
as autoridades.
Disponer de un siste
un sistema
ma de gest
gestión
ión de compliance
compliance no
no constituye un requisito
un requisito
jurídico-formal del que deriven per se consecuencias
se consecuencias legales provechosas para
la organización
organización.. Estas solo acontecen cuando de su aplicación práctica, se cons-
tata la voluntad de la organización
organización por
por establecer o mantener una cultura ética
y de respeto a las normas. Como consecuencia de acreditar tal circunstancia,
se pueden derivar ventajas legales para la organización
organización,, como son la mitigación
de su responsabilidad legal o incluso, su exoneración, según disponga el marco
jurídico de aplicación. En relación con esto, las autoridades de algunos países


compliance según
publican directrices para evaluar el nivel de aplicación práctico de los modelos

de compliance152.
Por consiguiente, la organización
organización tiene
tiene que estar en disposición de acreditar la
aplicación
mayoría deefectiva de tendrán
cuanto está
requisitos tendrán
requisitos indicado
la forma en su política
de información de compliance
compliance.
documentada
documentada, . La
, lo que
facilitará su prueba dentro y fuera de juicio.
MÁS INFORMACIÓN. Importancia de la información documentada a

efectos de prueba.
Una gran parte del desarrollo de los contenidos de lo establecido en la política
de compliance
compliance dará
dará lugar a evidencias soportadas en calidad de información
documentada.. Véanse los comentarios a dicho concepto en el apartado II.3.10
documentada
Información documentada,
documentada, de este libro. También los comentarios al apartado
7.5 Información documentada del
documentada del estándar ISO 37301:2021, que figuran en el
apartado II.7.5 Información documentada
documentada,, de este libro. Igualmente, y a efectos
prácticos, puede consultarse el anexo I Información documentada,
Materias relacionadas con su custodia y comunicación

• La política de compliance estará a disposición de quien pueda precisar conocerla
en calidad de información documentada (véanse los comentarios al concepto de
Información documentada en el apartado II.3.10 Información documentada
d ocumentada, de
este libro y también, los comentarios al apartado 7.5 Información documentada
del estándar ISO 37301:2021, que figuran en el apartado II.7.5 Información
Información
documentada , de este libro).
EJEMPLO. Un documento perfectamente trazable.

Como otros muchos documentos a los que el estándar ISO 37301:2021 exige
la condición de información documentada,
documentada, la política de compliance
compliance debe
debe ser
un documento del cual se pueda conocer fácilmente su versión vigente, tener
garantías de que su contenido no ha sido alterado, así como la trazabilidad de
los cambios producidos en el mismo.
152 US Department of Justice-Criminal Division. Evaluation of CorCorporate
porate Compliance Programs, Gui-
dance Docume
Document,
nt, junio 2020. Véanse, en particular
particular,, los contenidos de la Sección II Is the Corpora
Corporation
tion’s’s
Compliance Program Adequately Resourced and Empowered to Function Effectively? y también de la
Sección III Does the Corporation’s Compliance Program WorkWork in Practice?

II.5 Liderazgo 183
MÁS INFORMACIÓN. Cajetín con información esencial de las normas.

En relación con las informaciones que permiten identificar un documento en ca-
lidad de información documentada, véanse las explicaciones y los l os ejemplos que
se exponen en el apartado II.7.5.2 Creación y actualización de la información
documentada,, de este libro. Allí figura la configuración esencial del cajetín que
documentada
suelen incorporar muchas organizaciones
organizaciones a
a sus normas (políticas
(políticas y
y procedimientos)
para su fácil identificación.
• La polít
política
ica de compli
compliance
ance se comunicará dentro de la orga
organizaci
nización
ón, de modo
que el personal pueda adquirir conciencia de su existencia y conocer,
conocer, no solo el
compromiso de la organización con el compliance , sino las medidas organiza-
tivas establecidas para darle eficacia y su marco conductual, de derechos y de
obligaciones.
EJEMPLO. El “ welcome pack ”. ”.

Es una medida habitual facilitar a las nuevas incorporaciones un conjunto de
documentos relevantes de la organización
organización,, entre los cuales figura su código ético
o de conducta y otras políticas
políticas clave
clave (la política de compliance
compliance,, por ejemplo).
Un procedimiento análogo se emplea respecto a personas que promocionan
a posiciones donde es importante que adquieran conciencia de determinadas
políticas en
políticas en particular.
MÁS INFORMACIÓN. Entrega o puesta a disposición de documentos en

el proceso de empleo.
En relación con la entrega o puesta a disposición de documentos –incluidas polí-

ticas clave–
ticas clave– en el proceso
proceso de
de incorporación de personal
personal,, véanse las explicaciones
que figuran en el apartado II.7.2.2 Proceso de empleo,
EN BUSCA DE LA EXCELENCIA. Documentación previa a iniciar la relación

laboral.
Aunque alguna
algunass organizaciones
organizaciones entregan
entregan el llamado “welcome
“welcome pack”
pack” dentro
de los primeros días en que se incorpora la persona a la organización
organización,, una
vez formalizado su vínculo jurídico con la misma (habitualmente de naturaleza
laboral), puede ser oportuno hacer entrega de estos documentos antes de dicho
momento. Aunque muchos ordenamientos reconocen las capacidades jurídicas
de los empleadores para facilitar e imponer directrices internas de trabajo, no
debemos olvidar que algunas de ellas, especialmente las relacionadas con
compliance,, tienen una dimensión ética o moral que no tiene por qué coincidir
compliance
necesariamente con la del candidato. Parece razonable facilitarle antes el marco


compliance según
de valores de la organización
organización y y las principales políticas
políticas en
en que deriva, de modo
que pueda facilitar su consentimiento
consentimien to a vincularse con la organización
organización de
de manera
informada. Si alguno de los textos contiene información confidencial o secreta,
será entonces razonable diferir su entrega a un momento posterior
posterior..
EJEMPLO. Declaraciones de conformidad.

Las políticas
políticas internas
internas de las organizaciones
fijan parámetros de conducta que
conviene recordar cada cierto tiempo. En ocasiones, la entrega del “welcome
“ welcome
pack”” lleva aparejada la firma de un “recibí” por parte de sus receptores. Tam-
pack
bién es frecuente que se encuentren accesibles en alguna localización común
(en la intranet de la organización
organización,, por ejemplo). Sin embargo, estas medidas no
garantizan que vayan a recordarse.
Las declaraciones de conformidad son procesos
procesos que
que se repiten periódicamente, a
través de los cuales los destinatarios de determinadas políticas
políticas y
y procedimientos
procedimientos
clave declaran el conocimiento de las mismas. Sobre estas declaraciones cabe
señalar:
• Pueden cursarse por medios tradicionales (firma en soporte papel) pero también
a través de medios telemáticos, siempre que se garantice que todos los desti-
natarios di ponen de posibilidad de acceso y la trazabilidad de los firmantes.
• Cuando se cursan de manera telemática, es provechoso y poco costoso adjuntar
un enlace a la política
política cuya
cuya declaración de conformidad se solicita, de forma
que el destinatario pueda consultarla.
• No son necesariamente iguales para todo el personal
personal,, dado que las polí-
ticas que
ticas que les afectan pueden no ser coincidentes. Con gran probabilidad,
existirá
al códigounaético
parteo común en estaspor
de conducta, declaraciones de conformidad
ejemplo) y otra parte distinta(referente
en virtud
de las políticas
políticas que,
que, por motivo de especialidad, afectan a diferentes grupos
de destinatarios.
• La periodicidad de las declaraciones de conformidad es variable, en virtud
del índice de rotación del personal
personal.. Pero se considera una buena práctica
ejecutarlas, como mínimo, de manera anual. Dependiendo del riesgo
riesgo en
en el
sector de actividad, pueden establecerse ciclos de conformidad más cortos
para generar con ello un estado continuo de alerta y conciencia general.
• En líneas generales, bastantes ordenamie
ordenamientos
ntos jurídicos no reconocen como
infracción laboral sancionable la falta de conformidad formal del personal
personal
con algunas políticas
políticas,, que no vienen obligadas por la legislación o las auto-
ridades. Sin embargo, desde la perspectiva de compliance
compliance es
es muy interesante
el seguimiento
el seguimiento de
de las personas no han manifestado su conformidad respecto
a las políticas
políticas que
que les afectan, para valorar hasta qué punto esto supone un
riesgo y
riesgo y sugerir las acciones correctivas oportunas.
correctivas oportunas.

II.5 Liderazgo 185
• Al destinatario de la declaración de conformidad se le pueden solicitar varios

niveles acumulativos de conocimiento de la política o políticas
políticas::
(i) Que ssee le ha he
hecho
cho eentrega
ntrega de la misma o que se eencuentra
ncuentra a su disposición.
(ii) Que ha leído su contenido y está conforme con él.
(iii) Que se compromete a observar su contenido.
(iv) Que, en caso de duda o cuando detecte no conformidades o
conformidades o
no cumplimientos de
de compliance
compliance relativos
relativos a la misma, lo comunicará
inmediatamente a través de los medios puestos a su disposición,
incluyendo el canal para el planteamiento de inquietudes.
En relación con este último mecanismo, véanse los cometarios y ejemplos conte-
nidos en el apartado II.8.3 Planteamiento de inquietudes,
MÁS INFORMACIÓN. Obligación del personal de adherirse a las políticas

de compliance.
En relación de la obligación del personal
personal de de adherirse a las obligaciones de de
compliance,, así como a los procesos
compliance procesos,, políticas
políticas y
y procedimientos
procedimientos relacionados
relacionados con
ellas, véanse las explicaciones que figuran en los apartados II.5.3.4. Personal
Personal y
y
II.7.2.2 Proceso de empleo,
empleo, ambos de este libro.
MÁS INFORMACIÓN. Política de compliance, ciclos de formación y acciones

de concienciación.
La existencia de la política de compliance
compliance,, junto con otras políticas
políticas y
y proce-
dimientos clave
dimientos clave de la organización
organización,, debe ser objeto de difusión y refresco a
través de los ciclos de formación y las acciones para la toma de conciencia
que establece el estándar ISO 37301:2021. En relación con ambas materias,
véanse los comentarios en los apartados II.7.2.3 Formación
Formación y
y II.7.3 Toma de
conciencia,, ambos de este libro.
conciencia
• La política de compliance, estará a disposición de terceros, en la medida que el

vínculo con ellos así lo aconseje o precise.
EJEMPLO. Publicidad externa.

El principio de transparencia (en relación con esta materia, véanse los comen-
tarios en el apartado I.6.1.4
apartado I.6.1.4 Principio de transparencia,
transparencia, de este libro) es uno
de los que el estándar ISO 37301:2021 cita expresamente. Normalmente, las
actitudes contrarias a la cultura de
de compliance
compliance se
se desenvuelven en la opacidad,
o pacidad,
mientras que las correctas se transmiten abiertamente a las partes interesadas.
interesadas.
Esto no significa que toda la información sobre compliance
compliance deba
deba publicitarse,


compliance según
pero sí la que no revista carácter confidencial y refuerce el compromiso con el

mantenimiento de conductas éticas y alineadas con las normas.
En este contexto se entiende la conveniencia de que la política de compliance
compliance
no
Estasolamente esté con
política,, junto
política a disposición del personal
personal,
otros documentos que ,evidencian
sino también, de terceras
el buen gobiernopartes.
partes
de la.
organización,, puede encuadrarse en la página web externa de la organización
organización organización..
Es más, en la medida que su contenido resulte de aplicación a terceras partes,
partes,
puede hacerse referencia a la misma en las eventuales cláusulas contractuales
acordadas con ellas. Sobre este particular, véanse los comentarios relativos al
principio de vinculación mínima contenidos en el titular anterior “Condicionantes
de su contenido”,
contenido”, dentro de este mismo apartado.
EN BUSCA DE LA EXCELENCIA. Intranet y página web externa.

Las organizaciones
organizaciones comprometidas
comprometidas con una gestión responsable publicitan
aquellas políticas
políticas que
que traslucen sus valores, no solo dentro de la organización
organización,,
sino también, fuera de ella. Forma parte del principio de transparencia citado
anteriormente (véase el apartado I.6.1.4 Principio de transparencia,
transparencia, de este libro).
A nivel interno, constituye
constit uye una buena práctica disponer de una página web de-
dicada a compliance
compliance,, con una serie de contenidos esenciales:
• Descripción de los cometidos de la función de de compliance
compliance y
y los documentos
donde se localizan. Se hace especial mención a la obligación de colaborar
con ella.
• Identificación del responsable o los responsables de la función de compliance,
compliance, con
indicación de su ubicación y el modo de ponerse en contacto directo con ellos.
• Descripción de las responsabilidades de compliance
compliance para
para las personas de la
organización y
organización y los documentos donde se localizan.
• Árbol de políticas
políticas y
y procedimientos
procedimientos esenciales
esenciales de compliance
compliance,, brindando acceso
al contenido de los mismos para consultas.
• Información sobre el canal para el planteamiento de inquietudes y acceso al
mismo.
Los sites corporativos
Los sites corporativos tanto internos como externos, son también un buen lugar
para difundir las comunicaciones de compliance
compliance,, según se explica con ejemplos
en el apartado II.7.4 Comunicación
Comunicación,, de este libro.
A nivel externo, normalmente no es preciso ddifundir
ifundir la totalidad de políticas
políticas,, pro-
cedimientos y
cedimientos y demás informaciones o comunicaciones de compliance
compliance,, pero sobre
la base de la
externa, página websuprimiendo
básicamente interna (en la intranet) seexcesivamente
contenidos puede construir fácilmente
técnicos (por
ejemplo, políticas
políticas y
y procedimientos
procedimientos muy
muy específicos), e información confidencial
(véanse las figuras 16
16,, 17
17 y
y 18
18).).

II.5 Liderazgo 187
Documento descriptivo del

sistema de gestión
Política general de compliance
1. Introducción 1. Objeto y campo de aplicación

2. Objeto 2. Términos y definiciones
3. Contexto de la organización
3. Campo de aplicación
4. Roles y responsabilidades generales
4. Compromiso con el
el compliance
compliance
4.1. Órgano de gobierno
4.1. Órgano de gobierno
4.3. Alta dirección
4.4. Dirección
4.3. Dirección
4.5. Personal
4.4. Todo el personal
el personal
5. La función
La función de compliance
5. Función de compliance
5.1. Roles esenciales 5.1. Dependencia funcional y jerárquica
5.2. Roles
5.2. Dependencia y composición
5.3. Informes de compliance
5.3. Gobierno de compliance
6. Evaluación de riesgos
6. Consecuencias derivadas de los
no cumplimientos de compliance 7. Planificación de objetivos
objetivos,,
actividades y recursos
7. Planteamiento de inquietudes
7.1. Fijación de objetivos
8. Revisión y actualización
7.2. Determinación de actividades
planificadas
7.3. Asignación de recursos
7.4. Formación y toma de conciencia

8. Procesos de
Procesos de debida diligencia
9. Planteamiento
Planteamiento de
de inquietudes
e investigaciones
10. Supervisión de
Supervisión de entidades participadas
11. Reacción
Reacción ante
ante no conformidades
y no cumplimientos
12. Revisiones y auditoría
auditoría del
del
sistema de gestión
Figura 16. Dos ejemplos de índices de contenidos básicos tanto de la política

de compliance como del documento que describe el resto de elementos del
sistema de gestión
ge stión, que dotan de eficacia a su contenido.



compliance según
Puesta en contexto
respecto a documentos Volunt
Voluntad
ad de la
la
superiores (código ético) organización de
organización de observar
y de la estrategia de la
organización.
organización las obligaciones
, quede
por el órgano .de
Aprobación
gobierno y complliance
complliance, se
Responsabilidades de carácter obligatorio traslada a todas las
compliance que
compliance que afectan personas que
personas que se vinculan
al órgano de gobierno
gobierno con ella
Política general de compliance Ámbito

Ámb ito de aaplic
plicaci
ación
ón
Responsabilidades de
de territorial, destinatarios del
compliance que
compliance que afectan documento y perímetro
a la alta dirección
dirección técnico: grupos
técnico: grupos de
1. Introducción obligaciones de compliance
2. Objeto asociadas con los
Responsabilidades de
de “principales”
compliance que
compliance que afectan 3. Campo de aplicación
a la dirección 4. Compromiso con el
el compliance
compliance Definición del marco
4.1. Órgano de gobierno para la fijación de los

objetivos de compliance
Compliance afecta a todas
4.3. Dirección
las personas que se vinculan
Responsabilidades de 4.4. Todo el
el personal
personal con la organización
compliance que
compliance que afectan 5. Función de compliance
a todo el personal
el personal Declaraciones periódicas
5.1. Roles esenciales de conformidad
Consecuencias que se
Consecuencias 5.2. Dependencia y composición
derivan tanto de los
los Roles esenciales. Referencia
5.3. Gobierno de compliance al
al sistema
sistema de gestión que
gestión que
no cumplimientos de
compliance como de las no
las no 6. Consecuencias derivadas de los opera
conformidades no cumplimientos de compliance Dependencia funcional y

7. Planteamiento de inquietudes jerárquica. Composición
Referencia al canal para
el planteamiento de 8. Revisión y actualización orgánica
inquietudes, con referencia
básica a la documentación Acceso dire
Acceso directo
cto al
que regula de su empleo Régimen de revisión,
actualización y difusión órgano de gobierno,
gobierno,
y la que regula el proceso
de investigación. Referencia del documento o sus independencia (incluyendo
básica al estatuto de variaciones autonomía), autoridad y
protección al denunciante facultades
Figura 17. Ejemplo de contenido esencial de la política de compliance

c ompliance, con
indicaciones de contenido.
II.5 Liderazgo 189
Circunstancias internas, Finalidad del sistema

del sistema
externas y condicionantes Documento descriptivo del sistema de de gestión y
gestión y ámbito de
de las partes
las partes interesadas
gestión aplicación, incluyendo su
perímetro técnico
1. Objeto y campo de aplicación
Definiciones de uso
2. Términos y definiciones frecuente (recomendable
Regulación de los
cometidos específicos en 3. Contexto de la organización uso definiciones ISO)
materia de compliance 4. Roles y responsabilidades generales
Regulación detallada de
4.1. Órgano de gobierno la función de compliance
Cometidos del órgano de
gobierno 4.3. Alta dirección
4.4. Dirección Dependencia funcional
(en grupos es frecuente
Cometidos alta dirección 4.5. Personal que sea a la función
corporativa) y jerárquica
Cometidos de la dirección 5. La función de compliance
La función
5.1. Dependencia funcional y jerárquica
Cometidos del personal 5.2. Roles Atribuciones
Atribucion
competencias, es y e
directas
indirectas
Metodología de 5.3. Informes de compliance
identificación de los 6. Evaluación de riesgos Regulación de la cadena
principales riesgos de información de
de compliance y
compliance y de 7. Planificación de objetivos
objetivos,, compliance
evaluación de las actividades y recursos
casuísticas de riego para
cada grupo. Periodicidad 7.1. Fijación de objetivos Procesos de
Procesos de
determinación de
7.2. Determinación de actividades objetivos,, actividades y
objetivos
Procesos (separados) planificadas recursos
para el planteamiento 7.3. Asignación de recursos
de inquietudes y para Regulación de la
regular las investigaciones 7.4. Formación y toma de conciencia formación planificada, de
internas 8. Procesos de debida diligencia inducción y actividades de
concienciación
Procesos de supervisión 9. Planteamiento de inquietudes e
a entidades participadas, investigaciones Procesos de debida
controladas y no diligencia interna y
controladas 10. Supervisión de entidades
participadas externa
Régimen de revisiones 11. Reacción ante no conformidades
planificadas y y no cumplimientos Régimen de acciones
sobrevenidas del sistema
del sistema correctivas tanto para el
de gestión. Regulación de 12. Revisiones y auditoría del
del sistema
sistema personal como
personal como a terceras
su auditoría
auditoría interna de gestión partes
Figura 18. Ejemplo del índice de un documento que recoge el contenido

esencial del estándar ISO 37301:2021, sea porque desarrolla directamente sus
requisitos, o por referenciar otros documentos que lo hacen. De la ejecución
de su contenido se derivarán otros documentos, tales como la evaluación de
riesgos, el documento de objetivos, el presupuesto de compliance, el soporte de
las actividades de formación, etc.


compliance según
II.5.3. Roles, responsabilidades y autoridades

Este apartado establece los papeles que desempeñan en materia de compliance las dife-
rentes posiciones en la organización: el órgano de gobierno y alta dirección, la función de
compliance, la dirección y el personal. Obviamente, es una nomenclatura
n omenclatura estándar que
cabrá trasladar a las categorías equivalentes en cada caso real. Bajo esta clasificación
subyace el entendimiento de que el compliance afecta a todas las personas, funciones
y jerarquías en la organiz
organización
ación , aunque de manera distinta según sus capacidades.
Siguiendo el enfoque de tres líneas153, podría decirse que estos apartados abordan
principalmente los cometidos de la primera y la segunda, mientras que los de la tercera
aparecen indicados en el apartado 9.2 Auditoría interna.
Aunque no se precisa que esta atribuciónatrib ución de roles, responsabil
respons abilidade
idadess y autorida-
autor ida-
des conste como infor información
mación docume
documentada
ntada (véanse los comentarios al concepto de
Información
Inform ación docume
documentada
ntada en el apartado II.3.10 Infor
Información
mación documen
documentada
tada, de este
libro. También
También los comentarios apart ado 7.5 Información documentada del estándar
come ntarios al apartado
ISO 37301:2021, que figuran en el apartado II.7.5 Infor Información
mación do
documentad
cumentadaa, con
el mismo título, de este libro), debe inferirse claramente de la documentación de
la orga
organiza
nización
ción . Puede hallarse reflejada en documentos organizativos frecuentes
como los manuales de descripción de puestos o funciones, que se suelen elaborar
con otros propósitos. También pueden encontrarse en los propios documentos que
representan
representa n el siste
sistema
ma de gesti
gestión
ón de compli
compliance
ance. En cualquier caso, es clave que las
personas en la org organiz
anizaci
ación
ón conozcan qué expectativas de comp complian
liance
ce les afectan,
qué roles juegan respecto a ellas y quién dispone de capacidad para gestionarlas.
A CONS
CONSIDER
IDERAR.
AR. Loc
Localiz
alizació
aciónn de los role
roless y las res
respon
ponsab
sabilid
ilidades
ades de
compliance.
Los objetivos
objetivos que
que persigue un sistema
un sistema de gestión
gestión de
de compliance
compliance incumben
incumben al
personal de
personal de la organización
organización e
e incluso a ciertas terceras partes.
partes. Por consiguiente,
los diferentes colectivos –especialmente dentro de la organización
organización,, en forma de
categorías o puestos– desempeñan roles y asumen responsabilidades relevantes
en materia de compliance
compliance,, como se explicará en los apartados siguientes.
siguient es. Pueden
quedar reflejadas en documentos organizativos de uso interno (“job
(“job descriptions”),
descriptions”),
aunque la política de compliance
compliance es
es también un buen lugar para hacer referencia
general a ellos, beneficiándose así de su amplia difusión.
153
El antiguo
(IIA), COSO,modelo
COSO, el Basel de “t res líneas
“tres
Committee onde defensa”
Banking fue acogido(BCBS),
Supervision por el Institute
así comoofotras
Internal Auditors
instituciones
de supervisión y regulación del sistema financiero en el mundo. En julio de 2020 fue objeto de
revisión por parte del Institute of Internal Auditors, incrementando la relevancia de los roles co-
rrespondientes al órgano de gobierno . Su denominación pasó a serser,, simplemente, de “tres líneas”.

II.5 Liderazgo 191
MÁS INFORMACIÓN. La política de compliance y los roles, responsabili-

dades y autoridades.
Sobre la posibilidad de recurrir a la política de compliance
compliance para
para reflejar el marco
general de roles, responsabilidades y autoridades sobre compliance
compliance,, puede con-
sultarse el contenido y los ejemplos que figuran en el apartado II.5.3.1 Órgano
de gobierno y alta dirección,
Este apartado se encuentra dividido en cuatro partes, cada una un a de las cuales aborda las
citadas instancias en la organiz
organización
ación. En el anterior estándar ISO 19600:2014 también
estaban tratadas154, junto con dos apartados adicionales de carácter genérico
genérico,, más propios
de un MSS de tipo B (no certificable)155. A diferencia también de la norma antecesora,
ahora se ha obviado referirse a las “responsabilidades” de las posiciones señaladas en el
título de cada apartado, en la medida que esta literalidad inducía a confusión. Como
se explicará a continuación, el estándar ISO 37301:2021 hace un uso muy cuidado de
los términos, especialmente al detallar la funci
función
ón de comp
complianc
liancee, para evitar atribuirle res-
ponsabilidades
ponsabilida des (eventualmente legales) que no tiene capaci
capacidad
dad legal o fáctica de asumir
asumir..
II.5.3.1. Órgano de gobierno y alta dirección

Ni la HLS ni otros estándares
estánd ares ISO sobre sistemas
sistem as de gestión defin en “ gove
gestió n definen governing
rning
body” (a diferencia de "top management " que sí consta en la HLS), siendo un término
necesario en el ámbito del complia
compliance
nce y,
y, por tanto, def
definido l os siste
inido en los sistemas
mas de gestión
sobre esta materia156. Dependiendo del ordenamiento jurídico nacional (véanse los lo s
comentarios en el apartado I.6.2.1 Princi
Principio
pio de su
subordin
bordinación
ación a LLey
ey, de este libro) y
154 La única diferencia radica en sustituir el concepto de “empleados” por el de “personal” y en

evitar el uso “responsabilidades” en los títulos de los apartados dedicados a cada instancia: órgano
de gobierno y alta dirección
direcc ión, función de compliance
compliance , management y
y personal .
155 El estándar ISO 19600:2014 incluía los apartados iniciales 5.3.1 Generalidades y 5.3.2 Asigna-
ción de responsabilidades
responsabilidad es de compliance en la organización, cuya orientación y contenido resumido se
localiza ahora en el apartado A.5.3 Roles, responsabilidades
responsabi lidades y autoridades del anexo A (informativo)
Guía para el uso de este documento del estándar ISO 37301:2021. No obstante, una parte de los
contenidos del antiguo apartado 5.3.1 Generalidades (ISO 19600:2014) se pueden localizar ahora
en el apartado 5.3.1 Órgano de gobierno y alta dirección (ISO 37301:2021), al tratarse de cometidos
correspondientes a dichas instancias de gobierno en la organización .
156
Encontramos
37001:2016 esta definición
(3.7 Órgano en; los
de gobierno estándares
y ahora tambiénISO 19600:2014
en ISO (3.4en
37301:2021, Órgano de gobierno
su apartado ); ISO
3.21 Órgano
de gobie
gobierno
rno. Véanse los comentarios a esta definición en el apartado II.3.21 Órgano de gobierno, de este
libro. En aquellos estándares donde no se encuentra expresamente definido, forma parte del concepto
de “ alta dirección
dirección”, que sí forma parte de los términos concretados en la HLS, 3.5 Alta dirección
dirección.


compliance según
de la dimensión de la organizació
organizaciónn, pueden existir diferencias entre las competencias
competenci as
atribuidas a ambas figuras ( órg
órgano
ano de gobi
gobierno
erno y alta dire
direcci
cción
ón). Sin embargo, en
organizacion
organi zaciones
es medianas o pequeñas suelen coincidir en una sola instancia.
Corresponde al órgano de gobierno y alta dirección la atribución de roles, responsabili-
dades y autoridades en materias relevantes, incluyendo a la función de compliance
compliance, en
los términos indicados en el apartado anterior.
anterior. En particular,
particular, cuidará de distribuirlos
para que el sistema de ggestión
estión de compliance se adecúe a los requisi
requisitos
tos del estándar y
se les informe sobre su desempeño, según desarrollan los apartados 9.1.4 Informes de
compliance y, especialmente, 9.3 Revisión por la dirección.
Esta obligación del órgano de gobierno y de la alta dirección se completa con la exigen-
cia de que la función de compliance
compliance vele para que se produzca tal asignación de roles,
responsabilidades y autoridades en materia de compliance, según estipula el apartado
5.3.2 Función
Función de compliance
compliance, del estándar ISO 37301:2021.
MÁS INFORMACIÓN. Relación de la función de compliance con la asignación

de roles, responsabilidades y autoridades de compliance.
La asignación de roles, responsabilidades y autoridades en materia de com-
pliance es
pliance es una exigencia que afecta directamente al órgano de gobierno y
gobierno y a
la alta dirección.
dirección. Ahora bien, la función de
de compliance
compliance debe
debe velar para que se
realice e informar acerca de ello. Véanse los comentarios al respecto dentro del
título “ Actividades que involucran directamente a la función de compliance”
compliance ” del
apartado II.5.3.2 Función de compliance,
En particular, el órgano de gobierno debe asegurarse de que el desempeño de la alta

dire cciónn es también
direcció medido conforme al nivel de consecución de los objet objetivos
ivos de
compliance y que se ejerce sobre él una supervisión en cuanto a los cometidos que le
afectan, según el sistema de gestión de
de complian
compliance
ce. Como se desarrollará a continuación,
se trata de una evaluación y supervisión en cascada 157, pues la alta dirección debe hacer
lo propio sobre el personal.
Los cometidos de la alta dirección se concretan en:
• Facilitar los recursos para establecer o mejorar el sistema de gestión de compliance
según también establece el apartado 7.1 Recursos.
157 Esta mecánica de evaluación sucesiva o en cascada no estaba presente en el estándar ISO
19600:2014. Aunque sí contemplaba la evaluación de la alta direc dirección
ción por parte del órgano de
gobierno, no se preveía lo propio respecto al personal por parte de la alta dirección
direcci ón.

II.5 Liderazgo 193
MÁS INFORMACIÓN. Recursos materiales e inmateriales.

Sobre los diferentes recursos que deben ponerse a disposición de la función de
de
compliance,, incluyendo el tiempo y el equipo humano necesario para desempeñar
compliance
razonablemente sus cometidos, véanse las explicaciones y los ejemplos que se
expone en el apartado II.7.1 Recursos
• Asegurar sistemas materia de compliance, especial-

sistemas efectivos de información en materia
mente los destinados al órgano de gobier
gobierno
no y alta direcc
dirección
ión y velar por que se
ejecuten correctamente, en línea con lo indicado en los apartados 9.1.4 Informes
de compliance y 9.3 Revisión por la dirección.
A CONSIDERAR
CONSIDERAR.. Dispon
Disponer
er de inform
información
ación no es un derecho,
derech o, sino una
obligación.
Los administradores de sociedades no solo disponen del derecho a disponer de

información, sino la obligación de requerirla, preguntar por ella o interrogar sobre
su contenido, cuando les plantea dudas. Es una aproximación alineada con las
prácticas de buen gobierno corporativo que se están generalizando a nivel interna-
cional. En relación con la diligencia de los administradores sociales y, en particular,
el llamado “duty
“duty of enquiry”,
enquiry”, véanse las explicaciones y los ejemplos que
qu e se recogen
en el apartado II.5.1.1 Órgano de gobierno y alta dirección,
MÁS INFORMACIÓN. Reportes operativos de compliance.

Sobre los informes de compliance
compliance,, incluyendo tanto los operativos como las me-
morias anuales, así como la eventual incorporación de sus contenidos en otros
informes externos, véanse las explicaciones y los ejemplos que se exponen en
los apartados II.9.1.4 Informes de compliance y
compliance y II.9.3 Revisión por la dirección,
dirección,
ambos de este libro.
• Asegurar que los objetivos estratégicos y operativos generales de la organización

están alineados con las obliga
obligaciones
compli ance que le afectan, en línea con
lo establecido en el apartado 6.2 Objetivos de compliance y planificación para
lograrlos
lograr los.

En relación
tégicos contácticos
como el marco
quedeseobjetivos
objetivos de
derivan dedelcompliance
compliance y
y los las
mismo, véanse objetivos tanto
objetivos tanto estra-
explicaciones, así
como el ejemplo que figura en el apartado II.6.2 Objetivos de compliance y


compliance según
• Fijar
Fijar mecanismos de atribución responsabilidades ante no conformidades
atribución de responsabilidades conformidades y no
cumplimientos de compliance
compliance, incluyendo acciones disciplinarias158. Es una con-
secuencia derivada del principio de responsabilidad (véase el apartado I.6.1.5
I.6.1.5
Principio de responsabilidad, de este libro).
MÁS INFORMACIÓN. Modelos de incentivos y correctivos.
Una línea de pensamiento aboga por estipular en los sistem
los sistemas
as de gestió
gestiónn de
compliance únicamente
compliance únicamente acciones
acciones disciplinarias,
disciplinarias, dado que el cumplimiento de
las obligaciones de compliance
compliance constituye,
constituye, per se,
se, una conducta esperable que
no cabría “retribuir” o “premiar”.
“premiar ”. En esta misma línea, bastantes normas legales
sobre compliance
compliance –especialmente
–especialmente las de naturaleza penal– se refieren exclusi-
vamente a esta vertiente punitiva o sancionadora. En cualquier caso, véanse los
comentarios y los ejemplos de medidas incentivadoras que se recogen bajo el
título “Condicionantes
“Condicionantes de su contenido”
contenido” en el apartado II.5.2 Política de de com-
pliance,, de este libro.
pliance
• Asegurar que se considera el desempeño materia de compliance en el proceso

desempeño en materia
de evaluación del person
personal
al, lo que afecta no solo al momento de su incorporación,
como prevé el apartado 7.2.2 Proceso de empleo, sino también, a la evaluación
periódica de desempeño, contemplada en el apartado 5.3.1 Órgano de gobierno
y alta dirección.
MÁS INFORMACIÓN. Procedimiento de debida diligencia interna.

Acerca
Ace rca de las cau
cautel
telas
as de compliance
compliance al
al seleccionar e incorporar personal
personal
para la organización
organización (procedimiento
explicaciones (procedimiento
y los ejemplos de debidaendiligencia
que se exponen interna),
el apartado véanse
II.7.2.2 las
Proceso
de empleo,
MÁS INFORMACIÓN. Evaluación y supervisión en cascada.

Sobre el mecanismo de evaluación y supervisión en cascada que fija el estándar
ISO 37301:2021 para diferentes colectivos dentro de la organización
organización,, véanse
las explicaciones vertidas anteriormente, en este mismo apartado de la obra.
158 Laredacción del anterior estándar ISO 19600:2014 era ambigua, limitándose a apuntar –como
cometido del órgano de gobierno
gobier no y alta dirección
direcc ión– que los comportamientos de incumplimiento se
gestionarían adecuadamente. El estándar ISO 37301:2021 se refiere ahora a un mecanismo de
atribución de responsabilidades y cita expresamente acciones disciplinarias.

II.5 Liderazgo 195
II.5.3.2. Función de compliance

La función de compliance
compliance tiene encomendada la operación del sistema de gest
gestión
ión de com-
pliance. Por
Por aplicación del principio
princi pio de subordinación a Ley (véase el apartado I.6.2.1
I.6.2.1
Principio de subordinación a Ley , , de este libro), el estándar ISO 37301:2021 no puede
imponer un órgano societario que, per se, disponga de capacidades y responsabilida-
des no amparadas por el ordenamiento jurídico de aplicación. La redacción de este
apartado está influida por ello y evita emplear términos que inviten a la l a confusión159.
Ya desde su comienzo indica que la función de compliance
compliance es responsable de “operar”
el sistema de gestión, que contrasta con el anterior texto del estándar ISO 19600:2014
que directamente se refería a las “responsabilidades” de la función.
Operar el sistema de gestión de complian
compliance
ce supone dos niveles distintos
distinto s de compromiso:
• Uno mayor,
mayor, que se corresponde con actividades que involucran directamente
a la función de compliance. Su correcto cumplimiento reside en sus propias ha-
bilidades y competencias.
• Otro menor, actividades donde la función de compliance
menor, que se corresponde con actividades compliance
se involucra indirectamente en la medida que no asume su ejecución, mante-
niéndose alerta de que otros sí lo hacen. Son actividades a impulsar por otras
instancias en la organización, donde la función de compliance
compliance vierte sus mejores
esfuerzos para cuidar de que se ejecuten, pero de cuyo resultado no puede
responsabilizarse.
Por otra parte, en aras a la eficacia de la función de compliance
compliance, este apartado indica que
la organización le procure legitimidad para desarrollar correctamente
correctamente sus cometidos,
en línea con lo establecido en el apartado 5.1.3 Gobernanza del compliance.
En cualquier caso, el listado de actividades que plantea el estándar ISO 37301:2021 es
enunciativo
enunciativ o y no limitativo. También convi ene recordar que la existencia de la función
También conviene
de compliance
compliance y el desarrollo de sus actividades no exime al personal de la organización
de conocer y cumplir las obligaciones de compliance
compliance160.
159 En el proceso de redacción del estándar se evitó utilizar el término “ ensure” referido a la función
de compliance
compliance , por cuanto su posición no le brinda la capacidad de asegurar decisiones. Sin em-
bargo, vemos que se utiliza este término en el apartado 5.3.1 Órgano de gobierno y alta dirección ,
puesto
160 Esteque son instancias dotadas legalmente de las capacidades de gestión social más elevadas.
apartado introduce una nota aclaratoria en tal sentido. Aunque no es contenido norma-
tivo, está alineado con la filosofía del estándar y con lo que aparece expresamente indicado en
los apartados 5.1.1 Órgano de gobierno y alta dirección , 5.1.2 Cultura de compliance, 5.2 Política de
compliance y 5.3.4 Personal, entre otros.


compliance según
Actividades que involucran directamente a la función de

compliance
• La func
función
ión de comp
complian
liance
ce impulsará la identificación de las obl
obligaci
igaciones
ones de comp
complian
liance
ce
que afectan a la organi
organización
zación. En este contexto y dentro de un sistem
sistemaa de gestión
que cubra diferentes grupos de riesgos de compliance
compliance161, normalmente recurrirá al
criterio experto de los responsables de la gestión y supervisión de los mismos.
CONSIDERAR. Los dos niveles de análisis de riesgos de compliance.

A CONSIDERAR.
El estándar ISO 37301:2021 ayuda al diseño, la implementación
i mplementación y la evaluación
de sis
de sistema
temass de ges
gestió
tiónn de compliance
compliance de
de amplio espectro, esto es, los que proyectan
sus actividades sobre los “principales” riesgos
riesgos de
de compliance
compliance que
que amenazan a la
organización,, según clarifica el apartado 4.3 Determinación del alcance del sistema
organización
de gestión del compliance.
compliance. Un primer ejercicio consiste en identificar cuáles son
esos
gruposriesgos “principales”
riesgos “principales”
de obligaciones de ocompliance
de críticos para la organización
organización y,
compliance vinculados
vinculados con ellos y,(por
por ejemplo,
consiguiente, los
preven-
ción del soborno, protección de la libre competencia, protección
prot ección de la privacidad,
prevención del blanqueo de capitales, prevención de daños al medio ambiente,
etc.). Se determina así el perímetro técnico de supervisión sobre el que proyecta
sus actividades el sistem
el sistemaa de gest
gestión
ión de
de compliance
compliance.. Al respecto, véanse también
las explicaciones y los ejemplos en los apartados II.4.3 Determinación del alcance
del sistema de gestión del compliance y
compliance y II.4.5 Obligaciones de compliance,
compliance, ambos
de este libro.
Hecho lo anterior, entra en juego la mecánica del apartado 4.6 Evaluación de
los riesgos de compliance,
compliance, para identificar, analizar y valorar las casuísticas de
riesgo asociadas
riesgo asociadas a cada uno de los grupos de obligaciones de compliance dentro
compliance dentro
del perímetro técnico de supervisión.
MÁS INFORMACIÓN. Identificación de los “principales” riesgos de

compliance.
Sobre el ejercicio de identificación de los principales riesgos
riesgos de
de compliance
compliance que
que
afronta una organización
organización y
y los grupos de obligaciones de
de compliance
compliance vinculadas
vinculadas
con ellos, véanse los cometarios y ejemplos que se incluyen en el apartado II.4.3
Determinación del alcance del sistema de gestión del compliance,
161 Ocasionalmente y en sistemas jurídicos continentales, en forma de bloques de obligaciones
reguladas en los diferentes códigos o grupos de normas. Sobre esta materia, véanse también los
comentarios que figuran en el apartado II.4.3 Determinación del aalcance
lcance del ssistema
istema de ges
gestión
tión ddelel
compliance , de este libro.

II.5 Liderazgo 197
MÁS INFORMACIÓN. Evaluación de los riesgos de compliance.

Sobre la mecánica de evaluación de los riesgos
riesgos de
de compliance
compliance,, para cada uno
de los
nes grupos
y los de obligaciones
ejemplos que recogepreviamente
el apartadoidentificados,
identifi
II.4.6 cados, véanse
Evaluación de las
los explicacio-
riesgos de
compliance,, de este libro.
compliance
compliance se ocupará de la evaluación de riesgo
riesgoss de compliance
compliance ,
siguiendo lo establecido en el apartado 4.6 Evaluació
Evaluaciónn de llos
os riesgos de complian
compliance
ce.
Por consiguiente, aunque proceda involucrar a un criterio experto ajeno a la
propia función para desarrollar este ejercicio,
ejercicio, ejecutarlo es su responsabilidad,
recurriendo,, si es preciso, al asesoramiento externo.
recurriendo
MÁS INFORMACIÓN. Conceptos fundamentales

fundamentales en la evaluación de riesgos.
Sobre la metodología y conceptos básicos para la evaluación de los riesgos de de
compliance,, véanse las explicaciones y los ejemplos que se recogen en el apartado
compliance
II.4.6 Evaluación de los riesgos de compliance,
compliance velará por la alineación entre el sistema de gegestión
stión de
complian
comp liance
ce y los objet
objetivos
ivos de comp
complian
liance
ce. De otro modo, las actividades a desarrollar
y las estructuras dispuestas para ello pueden ser inútiles para alcanzarlos.
A CONSIDERAR.
CONSIDERAR. Fijación de los objetivos de compliance.
La fijación de los objetivos
objetivos de
de compliance
compliance no no consta como un rol de la función
de compliance
de compliance,, dado que su aprobación corresponde al órgano de gobierno y
gobierno y la
alta dirección (aunque
dirección (aunque la función de
de compliance
compliance pueda
pueda realizar propuestas). Sin
embargo, sí debe preocuparse de que el sistema
compliance sea
sea
capaz de progresar hacia ellos, fijando indicadores, midiendo
midiendo lo
lo que efectivamen
efectivamente
te
ocurre y siguiendo
y siguiendo los
los resultados. En relación con ello, véanse las explicaciones
y los ejemplos en el apartado II.9.1.3 Desarrollo de indicadores,
indicadores, de este libro.

En relación
del con la
marco que labor de la
determina fijación de de
política los compliance
objetivos d
objetivos dee, compliance
compliance, compliance,
véanse las ,explicaciones
siempre dentroy
los ejemplos que se recogen en los apartados II.6.2 Objetivos
Objetivos de
de compliance y


compliance según
• El estándar ISO 37301:2021 fija tres actividades consecutivas que incumben

a la funci
función
ón de compliance
compli ance y que recogen en su secuencia lógica: segui seguimiento
miento
del desempeño del sistema de ge gestión
stión de compliance, lo que conlleva impulsar el
establecimiento de indicadores; análisis de los datos resultantes, de modo que
se pueda evaluar dicho desempeño, efectuando las correcciones precisas; y, final-
mente, establecimiento del mecanismo de reporte que permita informar de ello
y documentar el proceso. Estas obligaciones directas de la función de compliance
compliance
enlazan, pues, con lo indicado en el apartado 9.1.3 Desarro Desarrollo
llo ddee ind
indicadore
icadoress,
así como en el apartado 9.1.4 Informes de compliance y también en el apartado
9.3 Revisión por la dirección. También
También con lo establecido en los apartados 9.1.5
Mantenimiento
Mantenimien to ddee regist
registros
ros y 7.5 Información documentada, cuando corresponda.
MÁS INFORMACIÓN. Indicadores e informes de compliance.
En relación con el desarrollo de indicadores y
indicadores y su plasmación en los informes
de compliance,
compliance
Desarrollo , véanse los, comentarios
de indicadores,
indicadores y losde
II.9.1.4 Informes ejemplos en los
compliance y apartados
compliance y II.9.1.3
II.9.3 Revisión por
la dirección,
dirección, todos de este libro.
compliance también se ocupa de que el sistema de gestión
g estión de com-
pliance sea revisado periódicamente. Este apartado se refiere a sus revisiones
predefinidos), mientras que el apartado 10.2 No
“planificadas” (a intervalos predefinidos),
conformidades y ac
acciones
ciones correctivas, estipula las “sobrevenidas” (a raíz de cambios
en las circunstancias de la organi
organización
zación o de incidentes). En cualquier caso, ambas
revisiones contribuyen a la mejora continua
continua del sistema de gestión, guiándose por
lo establecido en el apartado 10.1 Mejora continua.
CONSIDERAR. Seguimiento vs. revisión del sistema de gestión.

A CONSIDERAR.
Forma parte de los cometidos de “operación”
“op eración” deldel sist
sistema
ema de gest
gestión
ión de compliance
compliance
el seguimiento
el seguimiento de
de sus actividades yy,, en definitiva, de su desempeño
desempeño.. Es una labor
cotidiana cuyos resultados se reportan según lo establecido en el apartado 9.1.4
Informes de compliance.
compliance. Al margen de esta actividad continua, las revisiones del
sistema de
d e gestión
gestión se
se realizan de forma planificada o sobrevenida, incluyendo
las que se desarrollan en el contexto de la auditoría
auditoría interna.
interna.
MÁS INFORMACIÓN. Tipos de revisiones del sistema de gestión de

compliance.
Los diferentes
cados al iniciotipos de revisiones
del apartado II.4 del siste
del sistema
Contexto ma
dede
la gest
gestión
ión de
de compliance
organización
organización,compliance vienen
vienenVéanse
, de este libro. expli-
también los comentarios y los ejemplos en los apartados II.9.2 II.9.2 Auditoría
Auditoría interna
interna
y II.10.2 No conformidades y acciones correctivas,
correctivas, ambos también de este libro.

II.5 Liderazgo 199
compliance se ocupará también del establecimiento de mecanismos
a través de los cuales pueden comunicarse y gestionarse inquietudes en materia
de compliance, al amparo de lo que prescribe el apartado 8.3 Planteamiento de
inquietudes. Cuando estos canales de comunicación
comunicació n ya existen en la organización
y están siendo gestionados por otras funciones, este requis
requisito
ito supone, como
mínimo, mantenerse informado de sus actuaciones.
CONSIDERAR. Planteamiento de inquietudes y “ whistleblowing

A CONSIDERAR. whistleblowing lines”.
Los procedimientos y mecanismos para el planteamiento de inquietudes a que se
refiere el estándar ISO 37301:2021 incluyen, pero no se limitan a los denomina-
dos canales internos de denuncia (“whistleblowing
(“whistleblowing lines”).
lines”). Por tanto, admiten una
variedad conceptual y tecnológica abierta a desarrollos futuros. Por otra parte, el
apartado 8.3 Planteamient
Planteamientoo de inquietudes
inquietudes recurre
recurre al singular (“un proceso
proceso…”)
…”) por
cuanto, como requisito
requisito,, es el mínimo exigible a una organización
organización.. Sin embargo, esto
no impide la coexistencia de diferentes procesos
procesos o
o canales a esos mismos efectos.
A CONSIDERAR. ISO 37001:2021 sobre sistemas de gest

gestión
ión de canales
para el planteamiento de inquietudes.
El Comité Técnico de ISO/TC 309, dentro del que se encuadra el Grupo de
trabajo WG 4 que ha desarrollado el estándar ISO 37301:2021, también acoge
al Grupo de trabajo WG 3, que ha impulsado y redactado la primera norma
ISO sobre sistemas de gestión de canales para el planteamiento de inquietudes,
el estándar ISO 37002. Es positivo atender a su contenido, al ser una norma
moderna y con amplio reconocimien
r econocimiento
to en la comunidad internacion
internacional.
al. Ahora
bien, a efectos del estándar ISO 37301:2021, su cumplimiento no es preceptivo
(no figura citada en el capítulo 2 Referencias normativas)
normativas) y se trata, además, de
un MSS de tipo B (de directrices, no certificable).

Acerca de las cara
Acerca caracter
cterístic
ísticas
as y los ejem
ejemplos
plos sobre los cana
canales
les para el plan
planteam
teamient
ientoo
de inquietudes, incluido el eventual estatuto de protección al denunciante de buena
fe que enmarca la Directiva
Dir ectiva Europea 2019/1937 del Parlamento Europeo y del
Consejo, véase el apartado II.8.3 Planteamiento de inquietudes,
complianc e debe ocuparse de que el persona
personall tenga acceso a los
recursos sobre compliance , sus políticas, procesos y procedimie
procedimientos
ntos. El uso de las
tecnologías de la información y la comunicación permite realizar este ejercicio
por vía electrónica, recurriendo normalmente a la intranet corporativa. Es una
solución extendida y razonable cuando el personal dispone de recursos infor-
máticos para acceder a su contenido.
co ntenido.


compliance según
MÁS INFORMACIÓN. La intranet corporativa como lugar de puesta a

disposición de información clave de compliance.
En relación
rativa, con los
así como los contenidos
que cabría de una también
u bicar
ubicar eventualen
página web en
la página weblaexterna,
intranet véanse
corpo-
las explicaciones y los ejemplos que figuran bajo el título “Materias
“Materias relacionadas
con su custodia y comunicación”
comunicación” dentro del apartado II.5.2 Polític
Políticaa de compliance
compliance,,
de este libro.
CONSIDERAR. Las políticas, los procesos y los procedimientos de

A CONSIDERAR.
compliance.
No es mejor el sistema
el sistema de gestión dotado
gestión dotado de más políticas
políticas,, procesos
procesos y
y procedi-
mientos de
mientos de compliance
compliance,, sino aquel que dispone de los verdaderamente precisos,
adecuados y que se cumplen correctamente. Para ello, es interesante considerar
algunos
apartadoaspectos
II.5.2 relativos
II.5.2 Política
Política al idioma y, de
de compliance,
compliance el lenguaje
este libro.que se han explicado en el
Lejos de tener un efecto positivo, la proliferación indiscriminada de políticas
políticas,,
procesos y
procesos y procedimientos
procedimientos alimenta
alimenta la confusión y la incertidumbre en el seno
de las organizaciones
organizaciones,, mermando la eficacia
eficacia del
del sistema
gestión.
EN BUSCA DE LA EXCELENC
EXCELENCIA.
IA. Documentos de ayuda sobre las políticas.
En un entorno normativo complejo, puede resultar difícil redactar políticas
políticas,, pro-
cesos y
cesos y procedimientos simples y fácilmente comprensibles. Este es un fenómeno
frecuente en los mercados regulados.
Cuando no es posible
clave distribuyendo simplificar sumarios
documentos su contenido, es”),
positivo
(“flyers”),
(“flyers resumir susademás
que señalarán, mensajes
de
la localización de las políticas
políticas correspondientes,
correspondientes, los canales dispuestos para
recibir asesoramiento o aclarar dudas en relación con ellas, e incluso, trasladar
sospechas de contravención.
compliance prestará asesoramiento a la organización en materias de
compliance. Esto significa estar abierto a recibir consultas de las personas vincu-
ladas con ella, pero también a actuar proactivamente mediante su participación
en foros decisorios de la organización, según se explica más adelante.
MÁS INFORMACIÓN. Visibilidad ante los órganos decisorios.

En relación con la comunicación
comunicación fluida de la función de
de compliance
compliance con
con las instancias
decisorias dentro de la organización
organización,, véanse también los comentarios y los ejemplos
que se recogen en el apartado II.5.1.3 Gobernanza del compliance,

II.5 Liderazgo 201
Actividades que involucran indirectamente a la función

de compliance
• La func
función
ión ddee comp
complian
liance
ce velará para que se asignen las responsabilidades de com-
pliance en el seno de la organización. Esto significa vigilar que en los distintos
documentos organizativos (manuales de descripción de puestos, funciones, etc.),
constan los roles, las responsabilidades y las autoridades de com compli
plianc
ancee que afectan a
los diferentes puestos en la org
organi
anizac
zación
ión. En su defecto, también puede reflejarse en
la propia documentación de comp complian
liance
ce (en la polí
política
tica de comp
complian
liance
ce, por ejemplo).
MÁS INFORMACIÓN. Roles, responsabilidades y autoridades.
Como se explica en el apartado II.5.1.1 Órgano de gobierno y alta dirección,
dirección,
de este libro, constituye un cometido de estas altas instancias de gestión social
proceder a la asignación de roles, responsabilidades y autoridades en materia de
compliance.
compliance
se produzca. No obstante, la función
y, eventualmente, de compliance
de
informa compliance vela
vela porque
de las incidencias en el tal asignación
desarrollo de
este proceso
proceso en
en el contexto, por ejemplo, de lo explicado en el apartado II.9.1.4
Informes de compliance,
En cuanto al lugar donde establecer estos roles, responsabilidades y autoridades,
véanse los comentarios y los ejemplos recogidos en el apartado II.5.1.1 Órgano
de gobierno y alta dirección,
dirección, así como lo indicado bajo el título “ Aspectos a con-
siderar por el órgano de gobierno y la alta dirección
dirección”” del apartado II.5.2 Política
de compliance
de compliance,, de este libro.
• Aunque el apartado 5.1.1 Órgano de gobierno y alta dirección del estándar ISO
37301:2021 asigna a dichas instancias la responsabilidad de integrar el sistema
de gestión de compliance dentro de los procesos de negocio de la organización, la
compliance velará igualmente para que las obligaciones de compliance
compliance se
encuentren reflejadas e integradas en ellos. Se quiere evitar que el sist
sistema
ema de gest
gestión
ión
de compliance forme un entramado paralelo que permita ejecutar actividades sin
dar cobertura a los requisitos de compliance que les afectan.
CONSIDERAR. Procesos de negocio y procesos de compliance.

A CONSIDERAR.
Puesto que no hay otra forma de desarrollar actividades que, cumpliendo con las
normas, mantengan una conducta ética y alineada con las mismas es per se un se un
proceso ordinario
proceso ordinario de negocio (véase el apartado I.6.1.6 Principio de sostenibili-
dad,, de este libro). Bajo esta perspectiva, es artificial diferenciar entre procesos
dad procesos o
o
intereses
disociarsedelosnegocio y procesos
unos de procesos o
los otros. oLo
intereses de abre
contrario compliance,
compliance , dado que
la posibilidad no pueden
de desarrollar
actividades ilegales, lo cual, no solo atenta contra la política de compliance
compliance,, sino
también, contra los objetivos
objetivos que
que se derivan de su marco.


compliance según
MÁS INFORMACIÓN. Integración de los requisitos de compliance.

Como se explica en el apartado II.5.1.1 Órgano de gobierno y alta dirección,
dirección , de
esterequisitos
los libro, es una labor de estas altasde
de compliance dentro
compliance dentro instancias de gestión
los procesos
procesos de social laNo
de negocio. integración
obstante,dela
función de
de compliance
compliance vela
vela para que tal integración se produzca y eventualmente
informe de las incidencias en el desarrollo de esta actividad al amparo, por ejem-
plo, de lo explicado en el apartado II.9.1.4 Informes de compliance,
Véanse
Véa nse los come
comentari
ntarios
os y los ejem
ejemplos
plos que allí se reco
recogen
gen,, así como los que figur
figuran
an
en el apartado II.8.1 Planificación y control operacional,
operacional, también de este libro.
EJEMPLO. Integración de los requisitos de compliance en los proc

procesos
esos
ordinarios de negocio.
Se tomará, por ejemplo, un proceso
proceso simplificado
simplificado de homologación de provee-
dores. Se de
ordinario vannegocio
a ver lasy ladiferentes etapasenpor
incorporación él la
deque atraviesa de
los requisitos el procedimiento
requisitos de procedimiento
compliance..
compliance
Normalmente, dicho procedimiento
procedimiento de
de homologación atraviesa por contrastar y
documentar algunos aspectos básicos:
• Que el proveedor existe como entidad legalmente constituida.
• Que el proveedor lleva operando tiempo suficiente en el mercado como para
garantizar la continuidad del suministro de sus bienes o servicios.
• Que el proveedor dispone de las competencias técnicas para ofrecer la calidad
requerida en cuanto a los productos o servicios a contratar.
• Que el proveedor muestra solvencia económica suficiente como garantizar la
continuidad de sus suministros.
• Que el proveedor no presenta vínculos con personas de la organización
organización rela-
rela-
cionadas con el proceso
proceso de
de su contratación (conflicto de intereses).
A estos requisitos
requisitos,, frecuentes para la homologación de proveedores, cabría añadir
algunos adicionales en materia de compliance
compliance::
• Que el proveedor no se encuentra incluido en algún listado nacional o inter -
nacional de sujetos embargados o perseguidos por la justicia. Igualmente, que
no presenta noticias negativas en medios de comunicación que hagan dudar
de su alineación con los valores que defiende la organización
organización..
• Que sus propietarios últimos
últi mos están identificados y que ni ellos ni sus familiares
f amiliares
cercanos guardan están vinculados con funcionarios públicos u otras personas
públicamente expuestas respecto a las que deban adoptarse cautelas especiales.
Una vez homologados los proveedores, procederá formalizar la relación
r elación con ellos,
introduciendo las cautelas contractuales oportunas en cuanto a su compromiso
con la conducta ética y el respeto de las
l as normas. En relación con las tres
tr es etapas

II.5 Liderazgo 203
básicas en materia de evaluación de terceras partes (selección,

partes (selección, formalización y
seguimiento), véanse los comentarios y los ejemplos comprendidos en el apartado
II.4.6 Evaluación de los riesgos de compliance,
La integración de procedimientos
procedimientos ordinarios
ordinarios de negocio con los
los de compliance
compliance no
no solo
significa que se desarrollen ambos, sino, además, lo harán de manera coordinada.
Es el único modo de garantizar la imposibilidad
i mposibilidad de concluir la trtransacción
ansacción (en este
ejemplo, la homologación del proveedor) sin haber cubierto tanto los requisitos
requisitos d
dee
negocio como los de compliance
compliance.. Las organizaciones
organizaciones que
que los mantienen separa-
dos incurren en el riesgo
riesgo de
de finalizar los procesos
procesos de
de “negocio” –homologando al
proveedor– sin haber concluido satisfactoriamente los de compliance
compliance..
MÁS INFORMACIÓN. Procedimientos de debida diligencia.

Una buena parte de las cautelas de compliance
compliance guardan
guardan relación con los procedi-
mientos de
mientos de debida diligencia interna (los que se proyectan sobre las personas que
se incorporan o promueven en la organización
organización)) y externa (las terceras partes con
partes con
los que la organización
organización quiere
quiere vincularse). En relación con ambos aspectos, véanse
las explicaciones y los ejemplos contenidos en los apartados II.7.2.2 Proceso de
empleo y
empleo y II.8.1 Planificación y control operacional,
operacional, ambos de este libro.
A CONSIDERAR. “mapass de procesos”.

CONSIDERAR. Utilidad de los “mapa
Los llamados “mapas de procesos
procesos”” son la plasmación gráfica, normalmente en
forma de flujograma, de los procesos
procesos por
por los cuales la organización
organización desarrolla
desarrolla
sus actividades (compras, ventas, planificación y ejecución presupuestaria, control
de tesorería y pagos, etc.). Ayudan a visualizar y comprender los hitos por los
que atraviesan dichas actividades, así como los roles,
r oles, las responsabilidades y las
autoridades de las personas, las funciones o las áreas que intervienen en ellas.
Constituyen una herramienta de utilidad para analizar las debilidades de algunos
procesos en
procesos en términos de su eficiencia, de su eficacia
eficacia y y de su control. En la esfera
del compliance
compliance,, facilitan incorporar sus requisitos
requisitos dentro
dentro de los flujos de actividad
asociados a los procesos
procesos ordinarios.
ordinarios.
Sobre la utilidad de los mapas de procesos
procesos véase
véase el apartado II.3.8 Proceso
Proceso,,
así como las explicaciones y los ejemplos que figuran bajo el título “ Actividades
“ Actividades
que involucran indirectamente a la función de compliance”
compliance” del apartado II.5.3.2
Función de compliance y
compliance y el apartado II.8.1 Planificación y control operacional,
operacional,
todos de este libro.
• La fu
funci
nción
ón de compl
complian
iance
ce velará por impulsar las actividades formativas que permitan
al perso
personal
nal abordar los riesg
riesgos
os de complian
compliance
ce a los que está expuesto por motivos de
su ocupación, en línea que con que indica el apartado 7.2.3 Forma Formación
ción.

compliance según
MÁS INFORMACIÓN. Actividades de formación.

Las actividades de formación son especialmente importantes como apoyo al
mantenimiento
los ejemplos al de una adecuada
respecto culturaII.7.2.3
en el apartado corporativa. Véanse
, delos
Formación,
Formación comentarios
este libro. y
• La funci
función
ón de compliance
compliance también se preocupará de que se establezcan indicadores
con los que medir el desempeño de las diferentes actividades en el contexto del
sistema de ggestión
estión. No se configura como una obligación directa, en tanto en
cuanto son actividades que pueden desarrollarse por otras áreas, departamentos
o funciones.
EJEMPLO. Algunas actividades de formación.
Es posiblepero
técnicas, que de
algunas
algúnactividades de formación,
modo vinculadas normalmente
con el compliance
compliance, sobre
, sean cuestiones
desarrolladas
por equipos en otras áreas de la organización
organización.. En tales casos, al conocer su
criticidad, la función de
de compliance
compliance velará
velará por que quienes las impulsan, fijen
indicadores para medir su ejecución y aprovechamiento,
aprovechamiento, siguiendo
siguiendo entonces
entonces los
resultados que arrojen.
MÁS INFORMACIÓN. Indicadores e informes de compliance.

En relación con el desarrollo de indicadores y
indicadores y su plasmación en los informes
de compliance
compliance,, véanse los comentarios y los ejemplos en los apartados II.9.1.3
Desarrollo de indicadores,
indicadores, II.9.1.4 Informes de compliance y
compliance y II.9.3 Revisión por
la dirección,
dirección, todos de este libro.
Aspectos que incumben a la organización

Existe una serie de elementos clave para dotar a la función de compliance
compliance de la ope-
ratividad necesaria. Son aspectos que corresponde proveer a la organización, si bien
su ejercicio por parte de dicha función está sujeto a los principios que informan el
estándar ISO 37301:2021, en especial, el de responsabilidad 162.
162 En relación con este particular, véanse los comentarios en el apartado I.6.1.5 Principio de res-
ponsabilidad
ponsabilid ad, de este libro.

II.5 Liderazgo 205
Corresponde a la organización:
• Que la funció
compliance disponga de la capacidad de informar y participar en
las instancias y posiciones senior que
que tengan atribuidas facultades deliberatorias
o incluso, decisorias, pudiendo así prestar asesoramiento y actuar de manera
preventiva.
A CONSIDERAR. Participación en otros foros decisorios.

En el apartado II.5.1.3 Gobernanza del compliance,
compliance, de este libro, se comenta la
importancia de que dicha función tenga acceso directo y fluido con las instancias
de gestión social. Sin embargo, el apartado II.5.3.2 Función de
de compliance
compliance va va
más allá y exige que la organización
organización asegure
asegure su acceso a las instancias senior
instancias senior
de decisión, lo cual incluye, pero no se circunscribe necesariamente al órgano
de gobierno y
dirección.
EJEMPLO. Foros internos de debate y decisión.

Comités de inversiones, comités de gobernanza de producto (que valoran y siguen
la secuencia que transcurre desde su creación hasta su comercialización), comités
de investigación, comités de prospección de mercados y expansión, comités de
ciberseguridad, etc.
• Que la función de compliance

compliance pueda acceder a todos los niveles de la organizaci
organización
ón,
tanto desde una perspectiva funcional como geográfica.
A CONSIDERAR.
CONSIDERAR. La movilidad de la función de compliance.
En organizaciones
organizaciones grandes,
grandes, especialmente con múltiples emplazamientos físi-
cos incluso en diferentes países, es importante que la función de
de compliance
compliance
disponga de la capacidad para desplazarse y acceder de diferentes perfiles
de personas. Es uno de los factores de autonomía, junto con otros que se han
comentado como ejemplos en el apartado II.5.1.3 Gobernanza del compliance,
compliance,
de este libro.
Las diferencias culturales dificultan el asentamiento de una cultura común que
ayude a observar correctamente los valores de la organización
organización,, así como de las
políticas y
políticas y procedimientos
procedimientos que
que se derivan de ellos. La capacidad para realizar
visitas y entrevistarse con personas de diferentes rangos y ocupaciones ayuda a
contrastar
presupuestolade
uniformidad y puede
la consistencia
compliance puede
compliance contemplarenpartidas
su entendimiento
dedicadas ay ejecutar
aplicación. El
visitas
o comprobaciones in situ de
situ de forma planificada. Véanse también los comentarios
y los ejemplos al respecto en el apartado II.7.1 Recursos


compliance según
• Que la func
función
ión de complianc
comp liancee tenga acceso al pers
personal
onal y documentación que
precise con motivo de sus competencias. Aunque afecta a la organización en su
conjunto, dar eficacia a este requisito es algo que incumbe especialmente a las
altas instancias de gestión social, según se establece en el apartado 5.1.1 Órgano
de gobierno y alta dirección.
CONSIDERAR. Acceso a todo el personal.

A CONSIDERAR.
Es interesante subrayar que este apartado precisa que la organización
organización brinde
brinde a la
función de
de compliance
compliance acceso
acceso al personal
personal,, concepto que, como se ha explicado
(en relación con la amplitud del concepto de personal
personal,, véanse los comentarios
recogidos en el apartado II.3.22 Personal
Personal,, de este libro), tiene una notable am-
plitud. Por tanto, no se está circunscribiendo su actuación a la l a dirección o a los
mandos, sino al conjunto de personal
personal..
Normalmente, las solicitudes de información y documentación se canalizarán
a través de los diferentes responsables. Pero el estándar ISO 37301:2021 abre
la posibilidad de dirigirse a cualquier sujeto encuadrable como personal
personal si,
si,
por ejemplo, se sospecha que sus superiores obstruirán librar informaciones
o documentos.
MÁS INFORMACIÓN. Acceso a personas, informaciones y documentos.

En relación con el acceso de la función de
de compliance
compliance a
a las personas, informa-
ciones y documentos que precise con motivo del ejercicio de sus competencias,
véanse también los cometarios
cometari os y ejemplos que se recogen en el apartado II.5.1.1
Órgano de gobierno y alta dirección,
• Que sese brinde a la func

función
ión de compliance
compliance asesoramiento sobre el marco normativo,
las regulaciones y los estándares. Se trata de que pueda conocer e interpretar
correctamente las obligaciones de compliance
compliance que derivan del mismo.
EJEMPLO. Procurar asesoramiento interno y externo.

Considerando el volumen y la complejidad normativa, disponer de un buen
asesoramiento acerca de las obligaciones de compliance es
compliance es clave para darles
correcto cumplimiento. A tales efectos, el estándar ISO 37301:2021 plantea
abiertamente esta actividad que, tanto puede canalizarse interna como externa-
mente, o mediante una combinación de ambas opciones.
El asesoramiento
zación
zación, internoalprocederá
, Como se explicó abordar ladeinteracción
instancias de
dentro de la de
la función propia
de organi-
compliance
compliance
con los grupos de interés interno en el apartado II.4.2 Comprensión de las
necesidades y expectativas de las partes interesadas,
interesadas , de este libro. En par-
ticular, el soporte por parte de la Asesoría Jurídica interna puede ser clave,

II.5 Liderazgo 207
especialmente cuando el perfil de las personas que ocupan posiciones de

compliance no
compliance no es jurídico.
Con independencia de lol o anterior
anterior,, la organización
organización también
también debe procurar ase-
soramiento externo a la función
la función de compliance.
compliance.
MÁS INFORMACIÓN. Recursos.

Sobre el asesoramiento interno o externo como partida a contemplar en el pre-
supuesto de compliance
compliance,, véanse las explicaciones y los ejemplos comprendidos
en el apartado II.7.1 Recursos
II.5.3.3. Dirección
La dirección (“ man
manage
agemen
ment t ”)
”) no es un término definido en el estándar ISO 37301:2021,
como tampoco en los precedentes163. Sin embargo, es un concepto que se utiliza en
ellos (directivos relevantes o “ relevant management ”) ”) para referirse a los cargos dota-
dos de capacidad de mando, subordinados al órgano de gobierno y a la alta dirección.
No obstante, el apartado 9.3 Revisión por la dirección hace un uso más amplio de este
término no definido, incluyendo a los efectos de su estipulación al órgano de gobierno
y a la alta dirección.
Este apartado es una reformulación y resumen del antiguo apartado 5.3.5 Respon-
sabilidades
sabili dades de la direc
dirección
ción del estándar previo ISO 19600:2014. Hace referencia a
comportamientos que afectan a la dirección, siempre dentro del contexto de los roles
que tenga encomendada en cada caso concreto:
• Se espera de la dirección que no solo coopere con la función de compliance
compliance, sino
que también anime a hacerlo al resto del personal. Es más, también que asegure
que el personal a su cargo164 observe las obligaciones de compliance
compliance que le afectan,
así como las políticas, los procesos y los procedimientos establecidos con tal fin por
la organización. En cualquier caso, participará activamente en la resolución de
163 El término "Dirección" ( Management ) no forma parte de la HLS y no está definido en los es-
tándares ISO 19600:2014 ni ISO 37001:2016. Sin embargo, ambos se refieren ocasionalmente al
“ management ”. ”. Además, el estándar ISO 19600:2014 disponía del apartado 5.3.5 Responsabilidades
de la dirección
direcc ión, equivalente al analizado en este apartado respecto al estándar ISO 37301:2021.
164 Lógicamente, esta referencia al personal a su cargo conlleva que la propia Dirección observe
las obligaciones de compliance que le afectan, así como las políticas , los procesos y los procedimiento
procedimientoss
establecidos para ello por la organización . En cualquier caso, es también una obligación que le vie-
ne dada por el carácter general de lo dispuesto en el apartado 5.3.4 Personal, que aplica al amplio
conjunto que cubre este término definido.


compliance según
incidentes y cuestiones de complianc

compliancee cuando así sea requerida. Esto incluye
también participar en accion
acciones
es correc
correctivas
tivas (eventual diseño e implementación
práctica).
• En sus labores diarias, procurará identificar los riesgos de compliance
compliance relativos
a las operaciones en las que interviene, comunicándolos a las instancias que
correspondan, incluida obviamente a la función de compliance
compliance.
• Procurará integrar las obligaciones de compliance
compliance dentro de las propias prácticas
operativas de la organización que afecten a su ámbito de actuación, de manera
que se facilite su cumplimiento.
MÁS INFORMACIÓN. Integración de los requisitos de compliance.
En el apartado II.5.1.1 Órgano de gobierno y alta dirección,

dirección, de este libro, se ex-
plica que corresponde a dichas instancias procurar la integración de los requisitos
requisitos
de compliance
compliance dentro
dentro de los procesos
procesos ordinarios
ordinarios de negocio. Es una labor que
concierne a las máximas instancias de gestión social,
soci al, pero por la que debe velar
la función de
de compliance
compliance,, según se ilustra con ejemplos en el título
t ítulo “ Actividades
que involucran indirectamente a la función de compliance”
compliance” del apartado II.5.3.2
Función de compliance,
compliance, de este libro. La dirección debe coadyuvar a dicha inte- i nte-
gración, formando parte de sus obligaciones.
sobre complia
• Atenderá a los ciclos de formación sobre compliance
nce y dará soporte a los mismos.
Procurará, q ue el personal a su cargo esté al corriente de las obligacio-
Procurará, además, que
nes de compliance
compliance que les afectan y les tutelará para que completen las acciones
formativas que mejoren su nivel de competencia y cubran los req requisi
uisitos
tos de
capacitación precisos.
A CONSIDERAR.
CONSIDERAR. La formación como necesidad.
La formación en materia de compliance
compliance no
no es una opción, sino una necesidad. De
hecho, como se señala en el apartado II.5.3.4 Personal
Personal,, de este libro, la asistencia
debería ser obligatoria normalmente para el colectivo que sea requerido a ello.
Como igualmente se explica con ejemplos en el apartado II.7.2.3 Formación Formación,,
de este libro, la falta de formación equivale a una deficiente capacitación para
abordar los riesgos
riesgos d
dee compliance
compliance.. Por consiguiente, atender a los ciclos de
formación e impulsar que también lo hagan los equipos a su cargo es una labor
indispensable de la dirección.

II.5 Liderazgo 209
EN BUSCA DE LA EXCELENCIA. El liderazgo desde el ejemplo en la

formación.
La
sinodirección no solo
que también atiende
puede a la formación
participar e incentiva
activamente en estospara queEsotros
ciclos. lo que
sabido hagan,
los
mensajes de compliance
compliance,, emitidos por personal
personal no
no adscrito a la función, pueden
causar un mayor impacto en los destinatarios por diferentes razones: proximidad,
legitimidad, lenguaje
lenguaj e empleado, etc. Por consiguiente, que la dirección asuma un
rol participativo en los ciclos de formación de compliance
compliance añade
añade valor y frescura
a esta actividad.
Sin perjuicio de lo anterior y considerando la diversidad y complejidad normativa,
suele aconsejarse que esta actividad sea supervisada por la función de
de compliance
compliance,,
previniendo mensajes confusos o, simplemente, desacertados.
MÁS INFORMACIÓN. Formación.

En cuanto a la obligación del personal
personal de
de participar en los ciclos de formación,
véanse las explicaciones del apartado II.5.3.4 Personal
Personal,, de este libro. Acerca de
las actividades formativas,
formativ as, véanse las explicaciones y los ejemplos que se recogen
en el apartado II.7.2.3 Formación
Formación,, de este libro.
• Alentará a las personas a su cargo

cargo a comunicar inquietudes,
inquietudes, dándoles el apoyo
que precisen y evitando que sean objeto de represalias por ello.
Los
yendocanales para eltradicionales
mecanismos planteamiento de inquietudes
y también, pueden ser diversos,
medios informáticos. inclu-
Normalmente,
las organizaciones
organizaciones utilizan
utilizan diferentes canales de comunicación interna de forma
simultánea, a efectos de favorecer el traslado de dudas, inquietudes o denun-
cias. En relación con esta materia, véanse las explicaciones y los ejemplos que
se recogen en el apartado II.8.3 Planteamiento de inquietudes,

compliance según
II.5.3.4. Personal
Este apartado es prácticamente coincidente con el apartado 5.3.6 Responsabilidad de
los
todoempleados del antiguo estándar ISO 19600:2014. Se tratan aspectos que afectan a
sujeto encuadrable bajo la definición de personal que, no olvidemos, abarca cual-
quier tipo de relación contractual que qu e lo haga dependiente de la organización (véase el
apartado II.3.22 Personal
Personal, de este libro). Visto así, las materias de este apartado aplican
igualmente al órgano de gobierno, a la alta dirección y a la dirección, así como al resto
de personas integradas en la organización, incluida la propia función de compliance compliance:
• Además de adherirse a las obl obligac
igacione
ioness de complia
compliance
nce que afectan a la orga
organiza
nización
ción, el
personall debe también hacerlo respecto a las pol
persona políti
íticas
cas, los pro
proceso
cesoss y los proc
procedim
edimient
ientos
os
establecidos al efecto165. Esto supone comprometerse a seguir unos parámetros
legales y éticos que no son abstractos, sino que derivan de este marco.
MÁS INFORMACIÓN. Declaraciones periódicas de conformidad.

El proceso
proceso de
de adhesión a las políticas
políticas de
de compliance
compliance se
se encuadra dentro de los
procedimientos periódicos
procedimientos periódicos de declaración de conformidad, que se explican con
ejemplos bajo el título “Materias
“Materias relacionadas con su custodia y comunicación”
comunicación ”
dentro del apartado II.5.2 Polític
A CONSIDERAR.
CONSIDERAR. Niveles de conformidad.
En relación con los procesos
procesos de
de declaración de conformidad dirigidos al perso-
nal,, pueden plantearse varios alcances progresivos, a evaluar dependiendo del
nal
marco jurídico de aplicación.
• Que las políticas
políticas (expresamente
(expresamente indicadas) han sido puestas a su disposición.
(expresamente indicadas) han sido puestas a su disposición
y se ha adquirido conocimiento de su contenido.
(expresamente indicadas) han sido puestas a su disposición,
se ha adquirido conocimiento de su contenido y se está de acuerdo con
él, manifestando que se ha cumplido con el mismo y comprometiéndose a
continuar haciéndolo.
165 Esta mención es nueva en ISO 37301:2021, en la medida que en el estándar ISO 19600:2014
solo se hacía referencia a la adhesión a las . No obstante, el antiguo texto
incluía un apartado, ahora desaparecido, obligaciones
que atribuíade compliance
como responsabilidad de los empleados de
hacer uso de los recursos accesibles en el contexto del sistema de gestión de compliance . Dentro de
esos recursos cabía entender las polít
políticas
icas , los proces
procesos
os y los proce
procedimie
dimientos
ntos encuadrados en dicho

II.5 Liderazgo 211

(expresamente indicadas) han sido puestas a su disposición,
se ha adquirido conocimiento de su contenido, se está de acuerdo con él,
manifestando que se ha cumplido con el mismo y comprometiéndose a con-
tinuar haciéndolo
infracciones de las yque
también, manifestando aeltravés
tenga conocimiento compromiso de comunicar
de los canales internos las
de
comunicación establecidos al efecto.
• Comunicar inquietudes en materia de com complia

pliance
nce o irregularidades. Es un
compromiso para la utilización de los procesos a que se refiere el apartado 8.3
Planteamiento de inquietudes.

Acerca de las cara
Acerca caracter
cterístic
ísticas
as y los ejem
ejemplos
plos sobre los cana
canales
les para el plan
planteam
teamient
ientoo
de inquietudes, incluido el eventual estatuto de protección al denunciante de
buena fe que enmarca la Directiva Europea 2019/1937 del Parlamento Eu- Eu -
ropeo y del Consejo, véase el apartado II.8.3 Planteamiento de inquietudes,
inquietudes,
de este libro.
CONSIDERAR. Canales abiertos a terceras partes.

A CONSIDERAR.
Los canales abiertos a terceras partes,
partes, esto es, aquellos que permiten cursar
comunicaciones, no solo del personal
personal,, sino también, de terceros
terceros,, son es-
pecialmente eficaces para la gestión de compliance
compliance.. Una parte notable de
comunicaciones extremadamente detalladas de irregularidades procede de
exempleados o incluso, de competidores, circunstancia que contribuye a su
rápida investigación y conclusión.
• El personal debe también participar en las actividades de formación que le

afecten, que seguirán los parámetros establecidos en el apartado 7.2.3 For-
mación
maci ón.
MÁS INFORMACIÓN. Formación del personal.

Sobre las modalidades formativas, véanse las explicaciones y los ejemplos que
figuran en el apartado II.7.2.3 Formación
Formación,, de este libro.

II.6 Planificación

El estándar ISO 37301:2021 enfatiza que complian
compliance
ce no es simplemente un resultado,
sino un proceso. Así se refleja tanto en su Introducción como en la propia definición
3.26 Compliance/Cumplimiento. En términos de buen gobierno, el cumplimiento de
las obligaciones de compliance
compliance no debe ser casual, sino obedecer a una voluntad delibe-
rada de hacerlo. Para
Para trascender de meras manifestaciones programáticas se precisa
planificar las actividades necesarias para conseguirlo. Es a través de su planificación
y posterior ejecución donde la organización refleja su voluntad y plena conciencia de
observar las obligaciones de compliance que le afectan.

Este capítulo aborda dichas actividades esenciales a través de dos apartados, coinci-
dentes con las ya presentes en el estándar previo ISO 19600:2014.
II.6.1. Acciones para abordar los riesgos y

oportunidades
A diferencia
diferencia del antiguo
antiguo estándar ISO 19600:2014, cuyo título se circunscribía
circunscribía a las
acciones para “afrontar riegos”, el actual apartado 6.1 Acciones para abordar los riesgos y
oportu
oportunid
nidade
adess del estándar ISO 37301:2021 incluye también el término “oportunidades
“oportunidades”, ”,

213

compliance según
subrayando así que las labores de gestión de riesgos entrañan siempre la posibilidad

de mejorar el sistema de gestión, en línea con lo que postula el capítulo 10 Mejora.
En general, las actividades planificadas deben ser acordes con las necesidades que
derivan de las circunstancias internas y externas de la organización, así como de los
requisitos que puedan provenir de las partes interesadas (en relación con los colectivos
que integran el concepto de “ partes interesad
interesadas
as” y sus requisit
requisitos
os, véase el apartado II.3.2
Parte
Parte interesada, dedicado a tal definición, de este libro). Como se ha explicado en el
apartado I.6.1.2 Principio de proporcionalidad, de este libro,
libro, estos elementos tienen un
fuerte impacto a la hora de aplicar razonablemente el principio de proporcionalidad.
Evaluar la armonía del sistema de gestión –en general–, así como la naturaleza y la
extensión de sus actividades planificadas
pl anificadas precisa revisitar los resultados de lo exigido
en los apartados 4.1 Comprensión de la organización y de su contexto y 4.2 Comprensión
de las necesidades y expectativas de las partes interesadas. Solo teniendo estos factores en
consideración, la organización puede confiar en la adecuación del sistema de ge gestión
stión
de compliance para satisfacer las obligaciones de compliance
compliance que le afectan, detectando a
tiempo no conformidades y no cumplimientos de compliance
compliance, previniendo o reduciendo
sus consecuencias y mejorando continuamente.
Además del anterior
anter ior marco interpretativ
interp retativo
o general,
genera l, este apartado
apart ado detalla
detal la aspectos
aspec tos
concretos a considerar a la hora de planificar las actividades propias del sistema de
gestión de compliance:
guardar relación con los objeti
• Las actividades planificadas deben guardar objetivos
vos de com-
pliance , que
planificaci ón se
planificación tratan
para en el, de
lograrlos apartado siguiente
este libro. II.6.2 Objetivos
Debe concurrir de compliance
una correlación obv iay
obvia y
entre los obje
objetivos
tivos pretendidos y la idoneidad de las actividades planificadas
para lograrlos.
MÁS INFORMACIÓN. Actividades planificadas y enfoque basado en el riesgo.

Aunque una parte de las actividades planificadas pueden ser de índole general
y no responder a una necesidad concreta (la formación recurrente acerca del
código ético o de conducta, a pesar de que no se hayan observado vulneracio-
nes a su contenido), otra parte sí que debería estar enfocada a disminuir el nivel
de exposición a los riesgos
riesgos de
de compliance
compliance que
que amenacen a la organización
organización..
Sobre este particular,
particular, véanse las explicaciones y llos
os ejemplos que se inclu
incluyen
yen en
el capítulo I.4 El estándar ISO 37301:2021 como sistema de gestión y
gestión y I.6.2.2
Enfoque basado en el riesgo,
riesgo, ambos de este libro.

II.6 Planificación 215
• Las actividades planificadas guardan

guardan relaci ón con las obl
relación obliga
igacio
ciones
nes de compli
complianc
ancee iden-
tificadas de acuerdo con el apartado 4.5 Obligaciones de complian
compliancece. Aunque parece
una obviedad, este requ
requisito
isito subraya la relación entre las actividades planificadas y
el core del comp
complian
liance
ce, esto es, atender las obli
obligacio
gaciones
nes de comp
complian
liance
ce: las primeras se
proyectan sobre las segundas, siendo colateral cualquier otra cobertura adicional.
EJEMPLO. Planificación de actividades no directamente relacionadas con

compliance.
Un sistema de gestión
Un sistema gestión de
de compliance
compliance puede
puede utilizarse para cubrir otras nece-
sidades adicionales que no guarden estricta relación con las obligaciones
las obligaciones de
de
compliance.. Sin embargo, esto no le debe restar foco ni recursos para el núcleo
compliance
de actividades que contempla el estándar ISO 37301:2021. Así, por ejemplo, se
pueden planificar actividades para la prevención, detección y reacción ante otros
riesgos distintos
riesgos distintos de los de compliance
compliance (invertir
(invertir en productos financieros, detectar
el
enfraude internopor
el mercado, o evitar el lanzamiento
ejemplo). de productos
Aunque estas o serviciosson
y otras actividades sinmás
aceptación
propias
de otros modelos de supervisión y control, eventualmente pueden hallarse en la
órbita del sistema
gestión de
de compliance
compliance por
por motivos puntuales de conve-
niencia. La planificación y el desarrollo de dichas actividades no pueden mermar
los esfuerzos en compliance
compliance ni ni servir de excusa para justificar una supervisión
deficiente de sus cometidos fundamentales.
• Las actividades planificadas

planificadas también guardan relación
relación con el resultado de la
evaluación de riesgos indicada en el apartado 4.6 Evaluación de los riesgos de com-
pliance. Puesto que el sistema de gestión de compliance sigue un enfoque basado
en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro),
tanto los objetivos de compliance como la planificación de actividades a desarro-
llar se ven fuertemente condicionadas por los resultados de la evaluación de
riesgos. No se comprenderá el establecimiento de objetivos ni la planificación de
actividades disociadas del resultado de dicho ejercicio, en el sentido de que no
sean apropiadas para disminuir el nivel de exposición de la organización.
MÁS INFORMACIÓN. Actividades planificadas y evaluación de riesgos de

compliance.
Puesto que el sistema
compliance sigue
sigue un enfoque basado en el
riesgo,, según se explica en el apartado I.6.2.2 Enfoque basado en el riesgo,
riesgo riesgo, de
este libro, reviste una importancia capital, no solo la adecuación de la evaluación
de riesgos,
riesgos
de los , explicada
riesgos y comentada
de compliance,
compliance conlibro,
, de este ejemplos encoherencia
sino la el apartadodeII.4.6 Evaluación
las actividades
planificadas con el resultado de dicho ejercicio, contribuyendo a disminuir el riesgo
riesgo
residual de la organización
organización..


compliance según
De acuerdo con lo anterior, la organización establecerá las actividades a plani-

ficar,, viendo cómo incorporarlas en los procesos del sistema de gestión y el modo
ficar
de medir su eficacia.
MÁS INFORMACIÓN. Integración de los requisitos de compliance en los

procesos ordinarios de la organización.
Sobre la integración de los requisitos
requisitos de
de compliance
compliance como
como parte de los procesos
procesos y
y
procedimientos habituales de negocio, véanse las explicaciones en el apartado II.5.1.1
Órgano de gobierno y alta dirección,
dirección, así como los comentarios y el ejemplo que figura
en el apartado II.5.3.2 Función de
de compliance
compliance.. Véanse igualmente las explicaciones
del apartado II.8.1 Planificación y control operacional,
operacional, todos de este libro.
MÁS INFORMACIÓN. Medición de eficacia e informes de compliance.
Acerca
sistemadel
de establecimie
establecimiento
gestión
gestión de nto ddee in
de complianceindicadores
compliance, dicadores
, véansepara la eevaluación
valuación ydel
las explicaciones losdesempeño
desempeño del
del
ejemplos que
se recogen en el apartado II.9.1.3 Desarrollo de indicadores,
indicadores, de este libro. En
relación con la traslación de su resultado en los informes
i nformes de compliance
compliance,, véanse
las explicaciones y los ejemplos que figuran en el apartado II.9.1.4 Informes de
compliance,, también de este libro.
compliance
II.6.2. Objetivos de compliance y planificación

para lograrlos
Para progresar, las organiz
organizaciones
aciones se fijan objetiv
objetivos
os en diferentes esferas y la de compli
compliance
ance
no es una excepción. Del mismo modo que existen objetivos para la generación de
ingresos (planes comerciales, de expansión, etc.), también cabe establecer los objeti-
vos de compliance. Este paralelismo ayuda a comprender su correcto planteamiento y
utilidad, como se explica a continuación.
Los objetivos de compliance no son una formulación ambigua, sino una concreción
del marco previamente establecido por la organización a través de su política de com-
pliance, como bien se deduce del apartado 5.2 Política
Política de compliance (en relación a la
política de compliance como marco de referencia
referencia para el establecimiento de objetivos,
véase el apartado II.5.2 Política
Política de compliance, de este libro). Del mismo modo que loslo s
objetivos comerciales “vender más” o “vender mejor” resultan excesivamente vagos,
los objetivos de compliance tales como la “tolerancia cero a los no cumplimientos
cumplimientos de com-
com-
pliance” y “mejora de lal a cultura ética y del respeto a las normas”, resultan igualmente
imprecisos. Pueden conformar un marco razonable de refere
referencia
ncia para determinarlos
después (el primer requisito y más obvio es que los objetivos están alineados con

el marco que determina la política de compliance), pero difícilmente reunirán todos

los requisitos exigidos en este apartado: que sean medibles (cuando sea posible), que
tomen en consideración los requisitos que afectan a la organización, que puedan ser
objeto de seguimiento, que puedan ser comunicados y eventualmente actualizados.
EJEMPLO. Marco de determinación de objetivos y objetivos concretos.

El marco estratégico “vender más” dará lugar a objetivos
objetivos potencialmente
potencialmente distribuidos
en diferentes funciones y niveles. Así, al equipo comercial se le puede transmitir
“vender más artículos de esta categoría en estas geografías”, mientras que al
equipo de marketing
marketing se
se le trasladará “desarrollar campañas específicas sobre
tales productos con especial intensidad en estas geografías” y así sucesivamente
en las diferentes áreas de la organización
organización.. En compliance
compliance procede
procede desarrollar un
planteamiento análogo, con una capilaridad equivalente.
Del
a unamismo modo
estrategia que los objetivos
circunstancial, comerciales
tampoco lo sonnolosson
decaprichosos, sino que
compliance. Como se obedecen
explicaba
anterio r, la determinación de objetivos es una actividad planificada
respecto al apartado anterior
que tiene en consideración:
(i) Lo exigido por el marco general para su fijación que contempla la polític
políticaa
de compliance.
(ii) Otros factores como las obliga
obligacione
cioness de compliance
compli ance y los ries
riesgos
gos –de no
conformidad
confo rmidad es y no cumplimi
cumplimientos
entos de compliance
complia nce– aparejados con ellas.
Siguiendo un enfoque basado en el rie riesgo
sgo (véase el apartado I.6.2.2
I.6.2.2
Enfoque basado en el riesgo, de este libro), los objetivos deberían procurar
la disminución del nivel de exposición a los riesgos de compliance
compliance de la
organización, pero no de una manera arbitraria, sino coherente con los
resultados del ejercicio de evaluación de riesgos.
Puesto que el ejercicio de evaluación de rie
riesgos
sgos debe desarrollarse periódicamente, también
la fijación de objetivos para reducirlos. Del mismo modo que los objetivos comerciales
evolucionan según las circunstancias y, por eso, no son siempre los mismos; igual
sucede con los de compliance, según varían el contexto de la organización o sus riesgos.
A diferencia de la política de compliance y otras políticas de alto nivel, que procuran
una estabilidad espaciotemporal (en relación con la estabilidad espaciotemporal de
ciertos documentos, véase el apartado II.5.2 Política
Política de compliance, de este libro), la
fijación y documentación de objetivos de compliance opera de manera circunstancial,
adaptándose así a las necesidades de cada ámbito y momento.
Dependiendo de su naturaleza, los objet
objetivos
ivos de compliance pueden ser estratégicos
o tácticos u operativos. Esta distinción permite aumentar su nivel de concreción,
ayudando a planificar actividades y establecer indicadores para su seguimie
seguimiento
nto y la
medición de su eficacia.

compliance según
EJEMPLO. Marco de objetivos de compliance en la política de compliance.

Como se explica en el apartado II.5.2 Política de
de compliance
compliance,, de este libro, la
política
política de
de compliance
compliance incorpora
de compliance
compliance. incorpora
. De este el marco
modo, dicha para constituye
la determinación
política constituye
política de los objetivos
un documento objetivos
dotado
de estabilidad espaciotemporal (en relación con la estabilidad espaciotemporal
de ciertos documentos, véase el apartado II.5.2 Política de de compliance
compliance,, de este
libro), mientras que el ejercicio de fijación de objetivos
objetivos será
será circunstancial, esto
es, vendrá condicionado por las necesidades variables que se manifiestan del
ejercicio periódico de evaluación de los riesgos
riesgos de
de compliance
compliance..
V
Veamos
eamos algunas declaraciones de valores susceptibles de constituir un marco de
fijación de objetivos
objetivos::
• Tolerancia cero a los no cumplimientos de
de compliance
compliance..
• Mantenimiento de una cultura ética y de respeto a las normas.
• Incremento de los umbrales de exigencia de la organización
organización en
en materia de
compliance,, por encima de los mínimos exigidos por la normativa de aplicación.
compliance
• Colaboración activa con las partes interesadas,
interesadas, incluidas expresamente las
autoridades, en materia de compliance
compliance.. Liderazgo e impulso en este ámbito.
• Traslado a las comunidades de los valores de compliance
compliance,, para su difusión
incluso fuera de la organización
organización..
La política
política de
de compliance
compliance la
la aprueba el órgano de gobierno y
gobierno y la alta dirección,
dirección,
lo que significa que tiene una marcada naturaleza estratégica.
EJEMPLO. Objetivos estratégicos de compliance, dentro del marco fijado

en la política de compliance.
Imaginemos que el ejercicio de evaluación de los riesgos
riesgos de
de compliance
compliance de
de una
organización muestra
organización muestra un nivel de riesgo
riesgo elevado
elevado en cuanto a las operaciones
que se llevan a cabo en determinada jurisdicción, por la posibilidad de infringir
normas sobre defensa de la competencia. Esta situación
sit uación amenaza el marco ge-
neral fijado en la política de compliance
compliance,, que establece tolerancia cero a los no
cumplimientos de
de compliance
compliance..
Derivado de lo anterior
anterior,, entre los objetivos
objetivos “estratégicos”
“estratégicos” de compliance
compliance corres-
corres-
pondientes a ese periodo (el ejercicio social, por ejemplo), se contará reducir el
nivel de exposición a esos potenciales no cumplimientos de
de compliance
compliance en
en las
operaciones que se llevan a cabo en la jurisdicción bajo sospecha, en materia
específica de defensa de la competencia.
Esto no significa que este objetivo
objetivo vaya
vaya a trasladarse a la política de
de compliance
compliance,,
pues se agotará una vez ejecutadas exitosamente las actividades para su mitiga-

ción. Constará en el documento de objetivos

objetivos del
del periodo y se mantendrá en él y
en los siguientes mientras no se haya cubierto satisfactoriamente.
Tampoco significa que no puedan establecerse otros objetivos
objetivos igualmente
igualmente es-
tratégicos, no vinculados necesariamente con los resultados del ejercicio de
evaluación de riesgos
riesgos de
de compliance
compliance.. Así, por ejemplo, puede también contem-
plarse la reducción del nivel de exposición a esos mismos no cumplimientos de de
compliance en
compliance en todas las jurisdicciones donde opera la organización
organización.. Pero lo que
verdaderamente permite operar al modelo de compliancecompliance en
en clave sistémica
es su capacidad para proyectarse en lo más relevante para ella, siguiendo un
enfoque basado en el riesgo
riesgo (véanse
(véanse el apartado I.6.2.2 Enfoque basado en el
riesgo,, de este libro).
riesgo
EJEMPLO. Objetivos estratégicos de compliance, concretados en objetivos

tácticos u operativos.
Siguiendo con el ejemplo anterior, el objetivo
objetivo estratégico
estratégico derivará en objetivos
objetivos
tácticos u operativos, a pequeña escala. Por ejemplo:
• Impartir formación ad hoc en
hoc en materia de defensa de la competencia al personal
personal
directivo y a los mandos comerciales en la jurisdicción bajo sospecha.
• Desarrollar actividades de concienciación sobre defensa de la competencia,
especialmente enfocadas al colectivo comercial en general.
• Asignar responsabilidades locales específicas en materia de seguimiento
de seguimiento del
del
nivel de desarrollo y éxito de las medidas de formación y concienciación sobre
defensa de la competencia.
• en
Realizar averiguaciones
materia de defensa dein lasitu sobre
situcompetencia.
sobre el nivel de cumplimiento de la normativa
• Mejorar el asesoramiento jurídico
jur ídico local en materia de defensa de la competencia.
Vemos que de un solo objetivo
Vemos objetivo estratégico
estratégico han derivado cinco objetivos
objetivos tácticos.
tácticos.
A contin
continuación,
uación, se explica cómo se traduce
traducenn eenn aactivid
ctividades
ades planif
planificadas
icadas que
permitirán establecer indicadores de seguimiento
de seguimiento y y condicionarán el presupuesto
de compliance
compliance..
EJEMPLO. Transformación de objetivos en actividades planificadas y gestión

presupuestaria.
A cont
continua
inuación
ción,, se verán los objetivos
objetivos tácticos
tácticos transformados en actividades
concretas, que forman parte de la planificación del ejercicio:
• Selección y contratación de formadores locales y recursos de formación online
online..
Diseño de los ciclos de formación ad hoc y
hoc y su ejecución.


compliance según
• Selección y contratación de un proveedor con experiencia en el desarrollo de

material de concienciación sobre la base de los contenidos formativos
for mativos previa-
mente diseñados. Ejecución de las campañas en forma de cartelería, vídeos
en lugares comunes de descanso en la organización
organización y
y material ad hoc (
hoc (flyers
flyers,,
fichas e incluso, merchandising
merchandising).).
• Identificación y designación formal del responsable de realizar un seguimiento
de las acciones anteriores, valoración de su nivel de seguimiento
de seguimiento y
y aprovecha-
miento e información sobre ello a la función de de compliance
compliance.. Comunicación
formal de la asignación de ese rol al personal
personal local,
local, mediante carta del presi-
dente otorgando importancia a la materia y al nombramiento.
• Desarrollo un simulacro de “dawn
“ dawn raid”
raid” en las oficinas sitas en la jurisdicción
bajo sospecha. Conexión de una plataforma informática de investigación fo-
rense a los equipos locales en búsqueda de términos sospechosos. Selección
y contratación de un proveedor externo a tales efectos, ejecutando el servicio.
• Selección y contratación de una firma jurídica
jurí dica de prestigio para prestar ase-
ase -
soramiento de la calidad a la dirección local en materia de defensa de la
competencia.
En relación con cada actividad planificada se precisará prever los recursos
que se precisan (internos y externos) para su ejecución y fijar indicadores de
seguimiento.
A CONSIDERAR.
CONSIDERAR. Desarrollo de indicad
indicadores.
ores.
Para medir el
el nivel de eficacia
eficacia de
de las actividades acordadas para cubrir los
objetivos de
compliance (tanto
(tanto generales como vinculados con los resultados
del ejercicio de evaluación de riesgos
compliance),), procede desarrollar
indicadores. El estándar ISO 37301:2021, en su anexo A.9.1.3 Desarrollo
de indicadores,
indicadores, ofrece diferentes ejemplos y distingue entre indicadores de
actividad, reactivos y predictivos. Sobre esta materia y clasificación,
clasifi cación, véanse las
explicaciones y los ejemplos que contiene el apartado II.9.1.3 Desarrollo de
indicadores,, de este libro.
indicadores
CONSIDERAR. Disminución del riesgo de compliance.

A CONSIDERAR.
El ejemplo aanterior
contribuye generarilustra cómo una
y mantener el conjunto de objetivos
cultura éticaobjetivos de
de compliance
compliance no
y de respecto no solo
a las normas, sino
que disminuyen el riesgo
riesgo residual
residual que expone a la organización
organización.. No son objetivos
objetivos
de naturaleza general o abstracta, sino con un motivo y orientación concretos.

A CONSIDERAR.
CONSIDERAR. A efect
efectos
os de certificación, los requisitos ISO 37301:2021
certificación,
no constituyen objetivos.
La obtención
gidos de una declaración
por el estándar de conformidad
ISO 37301:2021 respecto
precisa que a lostodos
se hallen requisitos exi-
requisitos exi-
presentes
en el modelo evaluado. Carencias en alguno de sus requisitos
requisitos pueden
pueden impedir
la emisión de una certificación por parte de un tercero independiente, aunque
existan medidas previstas para cubrirlas en forma de objetivos
objetivos.. Así, por ejemplo,
la ausencia de una política de compliance
compliance no
no puede suplirse por la existencia del
objetivo “elaborar
objetivo “elaborar una política de compliance
compliance”.”.
El detalle en los objetivos de compliance:

• Permite concretar
concretar las actividades a planificar para alcanzarlos, señalando los
hitos precisos y sus responsables, según apunta el apartado 6.1 Acciones para
abordar los riesgos y oportunidades.
• Facilita el establecimiento de indicadores para medir el desempeño de las acti-
vidades planificadas, no solo en cuanto a su grado de desarrollo,
desarrollo, sino
sino también
al nivel de eficacia conseguido, en línea con lo dispuesto en el apartado 9.1.3
Desarrollo de indicadores.
• Ayuda a la gestión presupuestaria en cuanto a determinación de los recursos
l os objetivos fijados,
que se precisarán para cubrir las actividades vinculadas con los
conforme el apartado 7.1 Recursos.
Los objetivos de compliance constarán como información documentada (véanse los co-
mentarios al concepto de Información documentada en el apartado II.3.10 Información
Información
documentada
docume ntada, de este libro. También los comentarios al apartado 7.5 Inform
Información
ación
documentada del estándar ISO 37301:2021, que figuran, con este mismo título, en
el apartado II.7.5 Información documentada, de este libro).
II.6.3. Planificación de los cambios

La introducción de cambios en el sistema de gestión de compliance se llevará a cabo de
forma planificada. Para ello, no solo se definirá su propósito sino también los aspectos
relacionados del diseño y efectividad del sistema, los recursos que se precisan para
introducirlos o la reasignación de responsabilidades y autoridades para ejecutarlos.
Esta mecánica es aplicable a cualquier cambio que se pretenda introducir en el sistema
de gestión de compliance, incluyendo los asociados con su normal evolución (véase el
apartado II.10.1 Mejora continua, de este libro).


compliance según
En cuanto a los cambios que proceda introducir en el sistem

sistemaa de gestión, también se ten-
drán en cuenta sus potenciales consecuencias: los requi
requisitos
sitos que establecen los diferentes
apartados del estándar ISO 37301:2021 se encuentran interconectados, de modo que
la variación en alguno de ellos desencadenará consecuencias en otros. Por ello, antes de
introducir cambios, conviene prever sus efectos sobre los requisi
requisitos
tos conexos.
EJEMPLO. Reacción en cadena.

A raíz de un incidente de compliance
compliance,, una organización
organización constata
constata su exposición a
un riesgo de compliance que
compliance que no ha sido adecuadamente identificado ni tratado
tr atado
en su sistema
su sistema de ggestión
estión.. A partir de este hallazgo se genera una reacción en
cadena, susceptible de afectar a múltiples componentes del sistema. Ve Veamos
amos los
más inmediatos:
• Recomposición del ejercicio de evaluación de los riesgos
riesgos de
de compliance
compliance de
de
acuerdo con eldehallazgo
el tratamiento yy, medidas
riesgos y
riesgos por tanto,
dereconsideración de la priorización
control. Es una materia tratada enen
el
apartado II.4.6 Evaluación de los riesgos de compliance
• Análisis e introducción de eventuales variaciones en el árbol de políticas
políticas de
de
compliance,, de modo que comprenda políticas
compliance políticas y y procedimientos
procedimientos que
que deter-
minen parámetros de conducta
conducta adecuados
adecuados para el tratamiento del riesgo
riesgo.. Es
una materia tratada en el apartado II.5.2 Polític
• Reflexión crítica sobre los controles que se proyectan para mitigar ese riesgo
riesgo,,
en términos de su prevención, detección y gestión temprana. Reformulación de
la matriz de riesgos
riesgos y
y controles. Es una materia tratada en el apartado II.4.6
Evaluación de los riesgos de compliance,
• Eventuales cambios en los objetivos
objetivos de
de compliance
compliance,, con las variaciones que
suponen a efectos de actividades planificadas, recursos necesarios para su
ejecución y diseño de indicadores para medir su nivel de consecución. Es una
materia tratada en el apartado II.6.2 Objetivos de compliance y planificación
para lograrlos,
• Variaciones en las actividades de seguimien
de seguimientoto y
y auditoría del
del sistema
sistema de gestión,
gestión,
de forma que brinden confort sobre el control del nuevo riesgo
riesgo.. Es una materia
principalmente tratada en el apartado II.9.2
II.9.2 Auditoría
Auditoría interna,
interna, de este libro.
• Cambio en los informes de compliance
compliance,, derivados de la identificación y el
seguimiento del
seguimiento del nuevo riesgo
riesgo.. Es una materia tratada en los apartados II.9.1.4
Informes de compliance y
compliance y II.9.3 Revisión por la dirección,
dirección, ambos de este libro.
• Modificaciones en los ciclos de formación
formaci ón para que los colectivos afectados por
el riesgo
riesgo dispongan
dispongan de capacitación para afrontarlo y eventual lanzamiento de
campañas de concienciación. Es una materia tratada en los apartados II.7.2.3
Formación y
Formación y II.7.3 Toma de conciencia,
conciencia, ambos de este libro.

• Comunicaciones internas y externas relacionadas con el riesgo

riesgo y
y las actividades
puestas en marcha relativas al mismo, incluyendo las dirigidas a las partes
interesadas (que
interesadas (que comprenden a las autoridades). Es una materia tratada
tr atada en el
apartado
Este ejemploII.7.4 Comunicación,
Comunicación
no solo ilustra la ,variedad
de este libro.
de componentes afectados
afectados por una
situación sobrevenida, sino también, cómo cada uno de ellos guarda relación
con los demás. No son acciones individuales, sino que deben observar una
coherencia de conjunto.

II.7 Apoyo

El correcto desarrollo de las actividades planificadas para disponer de un sistema de
gestión acorde con el estándar ISO 37301:2021 precisa disponer de ciertos elementos
clave de apoyo, sin los cuales difícilmente se alineará con el sentido de la norma. Su
calificación como elementos de “apoyo” puede alimentar una imagen de accesoriedad
que no se corresponde con la realidad, pues son factores fundamentales a considerar
en forma de requ
requisit
isitos
os. De hecho, como se infiere de la Intro
Introducci
ducción
ón del estándar
(véanse
II.0 los apartados
Introducción I.5.1
, de este El estándar
libro), ISO
establecer 37301:2021
o mantener unaycultura
la cultura
cultu ra éticadey compliance
de respeto ya
las normas es una finalidad trascendente del compliance, que guarda estrecha relación
con las actividades tanto de formación como de toma de conciencia establecidas en
este capítulo166. Por ello, el término “apoyo” que proviene de la HLS se aproxima
más a su acepción de “puntal” que a la de simple “ayuda”.
166 Lafinalidad trascendente de un modelo de compliance es el establecimiento, mantenimiento o

mejora de una cultura ética
étic a y de respeto a las normas. Para ello, es importante desarrollar actividades
formativas y de toma de conciencia. Esta aproximación, que algunos denominan de “ integridad” se
contrapone a la aproximación clásica basada en el “ control”. Parte de considerar que los controles
tienen límites inherentes que difícilmente se pueden soslayar, arrojando mejores resultados las
acciones que cultivan la integridad de los sujetos. Los enfoques de las normas ISO son híbridos,
pues junto con las actividades de mejora de la integridad (formación y toma de conciencia tratadas
en el capítulo 7 Apoyo, por ejemplo) se reconoce la necesidad de fijar controles (en el capítulo 8
Operación, por ejemplo).

225

compliance según
Los elementos tratados en el capítulo 7 Apoyo del estándar ISO 37301:2021 que
afianzan el sistema de gestión son:
recursos para el sistema de gestión.

• La asignación de recursos
• Procurar las competencias de las personas de la orga
organizac
nización
ión en materia de
compliance.
toma de conciencia sobre compliance en quienes se vinculan con la
• Cultivar la toma
organización.
• Desarrollar labores materia de compliance dentro y fuera
labores de comunicación en materia
de la organización.
• Mantener información documentada de los elementos clave del sistema de gestión,
incluyendo, pero no limitándose a los requisitos que demanda el propio estándar.

Dichos aspectos se tratan en cada una de los cinco apartados en los que está dividido
el capítulo 7 Apoyo del estándar ISO 37301:2021, coincidentes en esencia con los
que contemplada el anterior estándar ISO 19600:2014,
1 9600:2014, pero resumidos y adaptados
al nivel de concreción que precisa un MSS de tipo A (certificable).
II.7.1. Recursos
El establecimiento y la implementación de un sistema de gestión de compliance precisa
recursos y corresponde a la organización determinarlos y facilitarlos. El estándar ISO
37301:2021 recurre al término “recursos”, que es deliberadamente amplio, inclu-
yendo los materiales y humanos. Cabrá prever partidas presupuestarias para cubrir
el coste de las actividades planificadas, pues son importantes para la consecución
con secución de
los objetivos de compliance.
A CONSIDERAR.
CONSIDERAR. Partidas presupuestar
presupuestarias.
ias.
El concepto “recursos” es deliberadamente amplio y suele asociarse con la ges-
tión presupuestaria. A efectos de conocer los gastos e inversiones que precisa la
función de
de compliance
compliance,, cabe prever tres grandes capítulos:
• Partidas dirigidas al mantenimiento ordinario del sistema
del sistema de gestión.
gestión.
• Partidas directamente relacionadas con la ejecución de las actividades planificadas.
• Partidas para gastos o inversiones imprevistas.
i mprevistas.

II.7 Apoyo 227
EJEMPLO. Partidas para al mantenimiento ordinario del sistem

sistema
a de gestión.
gestión
Mantener la operatividad del sist
del sistema
ema de gest
gestión
ión precisa
precisa gastos e inversiones, como:
• Revisión anual del sistema
gestión de
de compliance
compliance,, incluyendo el ejercicio
de reevaluación de riesgos
riesgos..
• Auditoría
Auditoría interna
interna del sistema
del sistema de gestión de
compliance..
• Asesoramiento externo recurrente en materia de compliance
compliance..
del sistema de gestión,
• Certificación del sistema gestión, si la organización
organización así
así lo decide.
• Suscripciones a bases de datos de integridad, como elemento de apoyo a los
procedimientos
procedimie ntos de debida diligencia.
• Suscripciones a servicios de actualización normativa, jurisprudencial y doctrinal.
• Diseño y desarrollo de los planes de formación general en materias de com-
pliance, tanto online
pliance, online como
como presenciales.
• Formación externa recurrente para la función de
de compliance
compliance..
• Otros servicios recurrentes.
EJEMPLO. Partidas específicas.

Las partidas específicas vinculadas con los objetivos
de compliance variarán
variarán según
cuáles se fijen para cada periodo. Serán gastos e inversiones relacionados con
las actividades para reducir riesgos
riesgos concretos
concretos que exponen a la organización
organización,,
según el resultado del último ejercicio de evaluación llevado a cabo.
Véanse ejemplos de actividades planificadas a presupuestar

presupuestar vinculadas con los
objetivos de
compliance,, en las explicaciones y los ejemplos que desarrollo en el
apartado II.6.2 Objetivos de compliance y planificación para lograrlos,
EJEMPLO. Imprevistos.
Lamentablemente, la experiencia demuestra que los gastos y las inversiones im-
Lamentablemente,
previstas son más frecuentes de lo esperado. Cuando determinados conceptos
adquieren recurrencia, dejarán de ser imprevistos para constituir una partida
presupuestaria de mantenimiento ordinario, dimensionada
dimensionada según la traza histó-
rica. Así, por ejemplo:
• Investigaciones.
• Asesoramiento externo ad hoc,
hoc, incluyendo informes específicos.
• Desarrollos informáticos.


compliance según
A CONSIDERAR.
CONSIDERAR. Repercusión interna de costes.
Las partidas relacionadas con la carga salarial del personal
personal de
de compliance
compliance,, junto
con otros gastos
repercutidos (ocupación,
internamente por participación en etc.),
otras funciones, otros pueden
gastos comunes, cargosa
también llegar
integrarse en el presupuesto de compliance
compliance..
mandato a la organización, el rol del órgano de gobierno

Aunque este apartado dirige el mandato
y de la alta direc
dirección
ción es capital para su fijación y puesta a disposición. El anterior
estándar ISO 19600:2014, en su apartado análogo, indicaba expresamente que la
dirección, en general, debería determinar
determin ar y proporcionar el despliegue de los recursos
necesarios para el sistema de gestión de compliance167 . Esta referencia desaparece en este
apartado del estándar ISO 37301:2021, al figurar ya contemplada como requisito en
el apartado 5.3.1 Órgano de gobierno y alta dirección.
Sin perjuicio de lo anterior
anterio r, para la determinación de los recursos precisos cabe escuchar
a la propia función de compliance
compliance, como principal conocedora de sus necesidades. Por Por
otra parte, la estimación de un presupuesto no implica que dejen de cubrirse costes
no presupuestados, cuando son necesarios. No en vano el apartado se titula “recursos”
y no simplemente “presupuesto”.
A CONSIDERAR.
CONSIDERAR. El “tiempo” como recurso.
Entre los recursos que precisa el sistema
compliance para
para operar
correctamente está el tiempo de dedicación
dedicació n de las personas que integran la función
de compliance
de compliance.. Aunque no es una materia que los l os textos de compliance
compliance aborden
aborden
explícitamente, la falta de tiempo del personal
personal adscrito
adscrito a compliance
compliance equivale
equivale a
una carencia de recursos humanos, que es uno de los conceptos expresamente
citados en el apartado A.7.1 Recursos
Recursos del
del anexo A (informativo) Guía para el
uso de este documento,
documento, del estándar ISO 37301:2021.
Los recursos destinados a complia

compliance
nce deben administrarse bajo los principios que
informan el estándar ISO 37301:2021, en especial el de responsabilidad (véase el
apartado I.6.1.5 Principio de responsabilidad, de este libro).
167 Aunque el apartado 7.1 Recur
Recursos
sos del anterior estándar ISO 19600:2014 se refería a la alta
dirección
direcci ón, también hacía un llamamiento a cualquier otra instancia directiva, con la finalidad de
prevenir cualquier tipo de traba administrativa interna en la liberación de recursos.

II.7 Apoyo 229
A CONSIDERAR.
CONSIDERAR. Rendición de cuentas.
La dotación de recursos para el sistema
compliance que
que adminis-
trará la función
en blanco. de compliance
de compliance según
Al tratarse según
de recursos dedirectrices presupuestari
presupuestarias,
la organización
organización, as, node
, la función dees compliance
un cheque
compliance
adquiere un deber de diligencia en su gestión frente a quien se los ha propor-
cionado (la organización
organización,, a través de sus órganos decisorios, según lo indicado
en el apartado 5.3.1 Órgano de gobierno y alta dirección),
dirección), lo que significa que:
• La función de
de compliance
compliance debe
debe rendir cuentas sobre la aplicación de los re-
cursos puestos a su disposición, al órgano de que dependa funcionalmente
y, en última instancia, al órgano de gobierno y
dirección. Un marco
adecuado para hacerlo son los informes a la dirección, según se explica en el
apartado II.9.3 Revisión por la dirección,
• La correcta utilización del presupuesto de compliance
compliance puede
puede ser auditado
internamente, o incluso, por terceros externos.
Desde luego, ambos aspectos son absolutamente corrientes en cualquier otra
función en el seno de la organización
organización..
II.7.2. Competencia
Competencia es un término definido que guarda relación con los conocimientos y
habilidades que se precisan para conseguir los resultados previstos. El apartado 7.2
Competencia no se limita a establecer los conocimientos que la org
organi
anizac
zación
ión debe procurar
a determinadas personas con el fin de que puedan abordar los riesgos de complianc
compliancee
que les afectan. A diferencia del antiguo estándar ISO 19600:2014, que circunscribía
su explicación al marco general y a la formación, el estándar ISO 37301:2021 aborda
también el proceso de incorporación o promoción del personal. En cualquier caso, el
concepto general de “ competencia” no se refiere exclusivamente a la formación, sino
también, a la experiencia exigible a las personas que desempeñan determinados roles.
No es una reflexión
reflexión intrascendente,
intrascendente, puesto que el correcto
correcto desempeño
desempeño de los roles
roles de
compliance, tanto en el fondo como en la forma, precisan experiencia, siendo esta una
cualidad especialmente valorada en los procesos de búsqueda de talento.
Aunque la redacción
Aunque redacción del apartado 7.2.1 Generalidades en el estándar ISO 37301:2021
apartado 7.2.1
parece similar a la de su antecesor ISO 19600:2014,
1 9600:2014, existe una gran diferencia entre
ambos textos: ahora, se aplica a las “ personas” que están bajo control de la organiza-
ción y no sobre los “ empleados” a los que se refería el estándar previo. Recordemos

compliance según
que el concepto de “ empleado” implicaba entonces un vínculo jurídico-laboral con la

organización
organizació n (definición 3.5 de ISO 19600:2014). Por tanto, las medidas generales
que plantea este apartado resultan de aplicación a cualquier persona que preste sus
servicios bajo el control de la organ
organizació
ización
n, con independencia de la naturaleza jurídica
de su vínculo. Evidentemente, esto supone su proyección frente a terceras partes, en
la medida que pueda ejercitarse control
control sobre ellas.
A CO
CONS
NSID
IDER
ERAR
AR.. Asi
Asime
metr
tría
ía en la
lass ca
capa
paci
cida
dade
dess de ac
actu
tuac
ació
ión
n so
sobr
bree “p
“per
erso
sona
nas”
s”..
Las organizaciones
organizaciones deben
deben procurar que las personas que se vinculan con ellas
dispongan de las competencias precisas para afrontar exitosamente los riesgos
riesgos
que las exponen. Ahora bien, no disponen de la misma capacidad para procurar
esta capacitación de todos los sujetos. Así, por ejemplo, las posibilidades son
mayores con el personal
personal,, dadas las capacidades de dirección y supervisión del
mismo. Sin embargo, el apartado 7.2.1 Generalidades
Generalidades se
se refiere a “personas”,
lo que abre la puerta a procurar y supervisar las competencias de terceras partes.
partes.
En tales casos, esa capacidad variará dependiendo de la relación con ellas: por
ejemplo, la posibilidad de actuar sobre un proveedor es normalmente mayor que
sobre un cliente, siendo ambos, terceras partes.
partes.
A CONSIDERAR. Capacidad
Capacidad de direc
dirección
ción y dependencia económica.
Algunos siste
Algunos sistemas
mas jurídico
jurídicoss trazan
trazan cier
ciertos
tos límites
límites sobre
sobre las capa
capacidad
cidades
es de direcció
dirección
n
o supervisión de las actividades de terceras partes,
partes, sobrepasados los cuales se
desencadenan consecuencias legales, normalmente
normalmente en forma de adquisición de
responsabilidades. Los ejemplos más comunes son:
• Los del ámbito laboral: instruir y supervisar al personal
personal de
de terceras partes puede
partes puede
terminar provocando que la organización
organización absorba
absorba legalmente su relación laboral.
• Los vinculados con el derecho de la competencia: sobrepasa
sobrepasados
dos determinados
porcentajes de dependencia económica respecto a la organización
organización,, esta puede
asumir determinadas obligaciones
obligaciones legales de las entidades dependientes.
MÁS INFORMACIÓN. “Contagio” de responsabilidades

responsabilidades..
Cuanto mayor sea la capacidad de supervisión que se pueden ejercer sobre una
tercera parte,
parte, mayores son las probabilidades de que sus eventuales malas praxis
ocasionen daños de reputación o incluso, traspasen responsabilidades legales a la
organización por
organización por falta de supervisión. Sobre esta materia, véanse las explicaciones
y los ejemplos que se desarrollan en el apartado II.4.6 Evaluación de los riesgos
de compliance,
compliance, de este libro. En relación con la necesidad de establecer controles
sobre las transacciones con terceras partes,
partes, véanse igualmente las explicaciones
recogidas el apartado II.8.1 Planificación y control operacional,
operacional, también de este libro.

II.7 Apoyo 231
La organización debe conocer las competencias en materia de compliance que precisan

las personas que trabajan bajo su control, asegurándose de que disponen de ellas por
haber recibido educación o formación, así como de la experiencia precisa. Les faci-
litará estos elementos de apoyo si lo precisan, valorando la eficacia de las actividades
desarrolladas. Mantendrá informac
información
ión document
documentada
ada sobre todo ello (véanse los comen-
tarios al concepto de información documentada en el apartado II.3.10 Información
Información
documentada
docume ntada, de este libro. También los comentarios al apartado 7.5 Inform
Información
ación
documentada del estándar ISO 37301:2021,
37301:2021 , que figuran, bajo este mismo título, en
el apartado II.7.5 Información documentada, de este libro).
II.7.2.2. Proceso de empleo

La anterior norma ISO 19600:2014 no hacía referencia a esta cuestión, pero sí lo
hace el estándar ISO 37001:2016 dentro de su apartado 7.2 Competencia. Podríamos
decir que el círculo de debida diligencia en compliance se cierra manteniendo control
(véase la figura 19):
19):
promocionan en el seno de la organiza-
• Sobre las personas que se incorporan o promocionan
ción. A este conjunto aplican los procedimientos de debida diligencia interna
genéricos del apartado 7.2.1 Generalidades, como los específicos de este apartado,
que se refieren al “ personal” y no al concepto
con cepto más amplio de “personas”.
• Sobre las terceras partes con las que se vincula o pretende vincularse la organiza-
ción. A este conjunto aplican también las generalidades establecidas en el apar-
tado 7.2.1 Generalidades, pero especialmente las medidas de debida diligencia
externa tratados en el apartado 4.6 Evaluación de los riesgos
ri esgos de compliance. Esta
actividad se conoce comúnmente como “third party management ” o “third party
due diligence” en los entornos anglosajones168.
Apartado 7.2.2 Proceso de
Interna Sobre el personal empleo
Debida diligencia
Sobre las terceras
las terceras Apartado 4.6 Evaluación de
Externa partes los riesgos de compliance
Figura 19. Al ejercer debida diligencia sobre los dos cole

colectivos
ctivos susceptibles
de amenazar a la organización (su personal o las terceras partes con las que
mantiene vínculos) se cierra el círculo de control en esta materia.
168 Sobre este particular véanse, por ejemplo, las directrices sobre “ Third party management ” del
apartado E en de la Sección I del documento de directrices Evaluati
Evaluation
on of Corpora
Corporate
te Complian
Compliance
ce
Programs (updated
(updat ed June 2020) del US Department of Justice-Criminal Division.


compliance según
comuness en los proce

A CONSIDERAR. Etapas comune procesos
sos de debida diligencia
interna y externa.
Frecuentemente,
el y paralaslasorganizaciones
personal y
personal organizaciones fijan
fijan
en sus
terceras partes en
partes requisitos de
requisitos de separados.
procedimientos debida diligencia para
A pesar de
ello, siguen una estructura esencial parecida, que atraviesa por tres actividades
básicas consecutivas (véase la figura 20 20):
):
• La adecuada evaluación del personal
personal o
o de terceros. La mejor cautela que
puede observar una organización
organización comprometida
comprometida con la ética y el cumplimiento
de las normas es evitar vincularse con sujetos (personal
( personal o terceras partes)
partes)
cuyo bagaje o perfil cuestionen su capacidad para cumplir las obligaciones
de compliance
de compliance que
que les afectan o no se muestren alineados con su cultura
de compliance.
compliance.
• La formalización jurídica del vínculo con el personal
personal o
o las terceras partes,
partes, in-
corporando las cautelas contractuales precisas en relación con las obligaciones
de compliance que
compliance que deben asumir.
• El seguimiento
El seguimiento de
de la relación que se mantiene con el personal
personal o
o las terceras
partes,, para satisfacerse de que su perfil no ha variado negativamente desde
partes
la evaluación inicial que justificó vincularse jurídicamente con ellos y que han
cumplido aquellas cautelas contractuales acordadas.
Son actividades sucesivas, de forma que el establecimiento de cautelas contrac-
tuales, por ejemplo, solo tiene sentido tras haber superado satisfactoriamente la
evaluación del sujeto.
A CO
CONS
NSID
IDER
ERAR
AR.. De
Debi
bida
da di
dililige
genc
ncia
ia in
inte
tern
rna
a en in
incor
corpo
pora
raci
cione
oness y pr
prom
omoc
ocio
iones
nes..
Los procedimientos
procedimientos generales
generales de debida diligencia interna aplicarán, tanto a
nuevas incorporaciones como a promociones para nuevas posiciones que así
lo precisen.
Proceso de
Proceso de debida diligencia
Selección Formalización Seguimiento

r r
Figura 20. Los procesos de debida diligencia referidos tanto al personal como
terceras partes con las que se pretenden mantener vínculos, atraviesan por
tres hitos básicos consecutivos: una adecuada selección, la formalización de la
relación con las cautelas contractuales oportunas y su seguimiento.

II.7 Apoyo 233
En relación con los procedimi

procedimientos
entos de debida diligencia interna, la organizaci
organización
ón debe
establecer las condiciones que precisa el personal para cumplir, no solo con las obli-
gaciones
gestión dede compliance
compliance (, políticas
sino también,
, procesoscon los elementos
y procedimie ntos).establecidos
procedimientos en el sistema
Para ello precisará de
conocer
el nivel de exposición a riesgos de compliance
compliance que entrañan los roles que van a desarro-
llar. Evidentemente, aplicando el principio de proporcionalidad (véanse el apartado
I.6.1.2 Principi
Principioo de proporci
proporcionalidad
onalidad, de este libro) y siguiendo un enfoque basado
en el riesgo (véase el apartado I.6.2.2 Enfoque basado en eell ri
riesgo
esgo, de este libro), las
condiciones exigibles para la contratación o promoción de personal serán más severas
cuanto más expuesta a riesgos de compliance se halle la posición a cubrir.
CONSIDERAR. Actividades expuestas a riesgos de compliance.

A CONSIDERAR.
El conocimiento de las posiciones o de los roles asociados a riesgos
riesgos d
dee compliance
compliance
puede derivar del propio ejercicio de evaluación de riesgos
riesgos,, ayudando a:
• Delimitar los procesos
procesos y
y procedimientos
procedimientos de
de negocio asociados con esas acti-
vidades.
• Identificar los roles expuestos a esos riesgos
riesgos..
• Comprobar si las medidas dispuestas por la organización
organización para
para la prevención,
detección y reacción temprana de esos riesgos
riesgos son
son suficientes y eficaces
eficaces..
La identificación de los sujetos con roles,
rol es, responsabilidades y autoridades en ac-
tividades de riesgo
riesgo permite
permite fijar y seguir
y seguir requisitos
requisitos en
en cuanto a sus competencias
(por ejemplo, formación y experiencia mínima requeridas) 169.
MÁS INFORMACIÓN. Evaluación de los riesgos de compliance y personas

expuestas.
Sobre este particular, véanse las explicaciones y los ejemplos que figuran en el
apartado II.4.6 Evaluación de los riesgos de compliance,
Igualmente, en un periodo razonable desde su incorporación, se debe facilitar al per-

sonal la política de compliance, entregándole una copia (soporte físico) o facilitándole
el acceso (soporte online) y formación sobre la misma.
169 Ental caso, posiblemente pasarán a constituir un requisito de información documentada.
Véanse los comentarios al respecto en el apartado II.7.5 Información documentada , de este libro,
así como el anexo I Información documentada
docume ntada.


compliance según
MÁS INFORMACIÓN. Puesta a disposición de la política de compliance y

otros documentos clave.
En relación con la puesta a disposición de la política de

de compliance
compliance y
y otros
documentos clave, en lo que habitualmente se conoce como “welcome
“welcome pack”,
pack”,
véanse los comentarios y los ejemplos que desarrollo bajo el título “Materias
“ Materias
relacionadas con su custodia y comunicación”
comunicación” dentro del apartado II.5.2 Política
de compliance
MÁS INFORMACIÓN. Declaraciones de conformidad del personal sobre

políticas clave.
Sobre los procedimientos
procedimientos de
de declaración formal de la conformidad del personal
personal
con documentos clave de la organización
organización,, incluyendo eventualmente la política
de compliance
compliance,, véanse los comentarios y los ejemplos recogidos bajo el título
“Materias relacionadas con su custodia y comunicación”
comunicación” dentro del apartado
II.5.2 Política de
de compliance
Siendo coherente con lo establecido en el apartado 5.2 Política de compliance

compliance 170, la
organización
organizaci ón aplicará medidas disciplinarias a quienes incumplan las obligacione
obligacioness de
compliance
compli ance, así como las polític
políticas
as, procesos o procedi
procedimientos
mientos establecidos al efecto, es decir,
la organización debe reaccionar ante no conformidad
conformidades y no cumplimientos de compliance
compliance
(véase el apartado I.5.3 Las no conformidades y los no cumplimientos de compliance, de
este libro). Es especialmente importante recordar que este requisito:
• Tendrá las limitaciones intrínsecas de aplicar el principio de subordinación a
Ley (véase el apartado I.6.2.1 Principio de subordinación a Ley, de este libro).
• También estará limitado por el estatuto de protección
protección a denunciantes de buena
fe171, según lo indicado en el apartado 8.3 Planteamiento de inquietudes.
170 Sobre la política de compliance , en general y acerca de su indicación de las consecuencias de in-
cumplir las obligaciones de
d e compliance , o las políticas , procesos y procedimie ntosli establecidos
procedimientos al efecto,
véanse los comentarios en el apartado II.5.2 Política de compliance
compliance , de este libro.
bro.
171 Merece la pena considerar los contenidos de la Directiva (UE) 2019/1937 del Parlamento
Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que
informen sobre infracciones del Derecho de la Unión.

II.7 Apoyo 235
MÁS INFORMACIÓN. Acciones correctivas e incentivos.

Acerca del régimen disciplinario, así como de incentivos a los comportamientos
alineados con“Condicionantes
bajo el título los objetivos
“Condicionantes compliance,, véanse
de su contenido”
contenido las explicaciones
” dentro del apartadoyII.5.2
los ejemplos
Política
de compliance
A CONSIDERAR.
as autoridades.
Es interesante saber que bastantes autoridades nacionales 172, evalúan la reac-
ción del órgano de gobierno y
gobierno y de la alta dirección frente
dirección frente a irregularidade
irregularidadess de
compliance previas,
compliance previas, como indicador,
indicador, no solo de su nivel de compromiso con una
gestión ética y respetuosa con las normas, sino también, de eficacia
eficacia del
del propio
modelo de compliance
compliance..
MÁS INFORMACIÓN. Importancia de la información documentada a

efectos de prueba.
Acreditar las medidas adoptada
adoptadass ante los no cumplimientos de
de compliance
compliance,, inclu-
yendo las que afectan al personal
personal y
y a terceras partes,
partes, corrobora el compromiso
de la organización
organización y y de su equipo de gestión en materia de compliance
compliance.. Sobre
este particular, véanse las explicaciones en los apartados II.3.10 Información
documentada,, II.7.5 Información documentada y
documentada documentada y anexo I Información documen-
tada,, de este libro.
tada
En el proceso de contratación y promoción de los empleados, dependiendo del nivel

de exposición de su posición, se desarrollarán procedimientos de debida diligencia
co herente con los roles de compliance que asumirán. Se trata
para valorar si su perfil es coherente
de evitar incorporar en procesos de riesgo de compliance de la organización a personas
de las que se conozca o podría haberse conocido que sus antecedentes no avalan su
adecuación para desempeñar sus cometidos173.
172 Por ejemplo, US Department of Justice-Criminal Di

ejemplo, vision. Evaluation of Corporate Compliance
Division.
Programs, Guidance
Guida nce Document , junio 2020. Véanse los comentarios en los apartados A y C de la
Sección II del documento Is the Corporation’s
C orporation’s Compli
Compliance
ance Program Adequately Re
Resourced
sourced and Em-
powered to
t o Function Effecti
Effectively?
vely?, así como el apartado C de la Sección III del documento Does the
Corporation’s Compliance Program Work in Practice?.
173 Así lo señalan, por ejemplo, la US Sentencing Commission, Guidelines Manual, Chapter Eight
“Sentencing of Organizations, 1 de noviembre de 2016.


compliance según
A CONSIDERAR. Las formas más rápidas de destruir una buena cultura

corporativa.
En esencia, existen dos modos de enterrar rápidamente una buena cultura cor-
porativa:
• Incorporando a la organización
organización personas
personas cuyos antecedentes no avalan su
idoneidad para el cargo a ocupar, desde una perspectiva de compliance
compliance..
Cuando no solo se mantienen, sino que promocionan o se les recompensa
dentro de la organización
organización,, desmotivan al personal
personal alineado
alineado con la cultura
de compliance.
compliance. El peor caso se produce cuando se reproducen conductas
inadecuadas del pasado –en empleadores anteriores– que, además, son
premiadas en la organización
organización actual.
actual.
• En ocasiones, las organizaciones
organizaciones no no incorporan perfiles nocivos, pero los
generan sobre la base de políticas
políticas de
de incentivos retributivos que inducen con-
ductas contrarias a los objetivos
objetivos de
de compliance
compliance.. Lamentablemente, los objetivos
objetivos
comerciales muy agresivos constituyen un ejemplo común.
Como se expone en el apartado II.5.3.1 Órgano de gobierno y alta dirección,
dirección, de
este libro, el órgano de gobierno debe
gobierno debe asegurarse de que el desempeño de la alta
dirección es
dirección es también medido conforme al nivel de consecución de los objetivos
objetivos
de compliance
compliance.. Se trata de una evaluación y supervisión en cascada, pues la alta
dirección debe
dirección debe hacer lo propio sobre el resto del personal
personal..
II.7.2.3. Formación
La Introducción del estándar ISO 37301:2021 remarca la importancia de la cultura
de compliance
compliance como factor de éxito de las organizaciones. En este sentido, su apartado
5.1.2 Cultura de compliance abunda en que la organ
organizac
ización
ión debe promover una adecuada
cultura a través del ejemplo respecto a unos valores de exigencia general. De hecho,
el apartado 5.1.1 Órgano de gobierno y alta dirección subraya que es responsabilidad
del órgano de gobierno establecer y mantener ese conjunto
conju nto de valores.
Asentada la relevancia del liderazgo
l iderazgo desde el ejemplo,
ej emplo, no cabe duda
d uda de que
qu e la for-
mación es una palanca importante para la difusión de los valores de la organización
y el mantenimiento de la cultura de compliance
compliance. Se encontraba también estipulada en
la anterior norma ISO 19600:2014, pero el estándar ISO 37301:2021 resume sus
contenidos y traslada otra parte al apartado A.7.2.3 Formación
Formación del anexo A (infor-
mativo) Guía para el uso de este documento, siguiendo la dinámica observada en los
apartados previos.

II.7 Apoyo 237
Aunque este apartado impone requisitos a la organización (en general), no debemos

olvidar que, según reza el apartado 5.3.2 F
Función
unción de compliance, la formación es una
174
de las actividades que corresponde promover a dicha función .

Como ya sucedía en el estándar ISO 19600:2014, también ahora el apartado 7.2.3
Formación
Formación se ubica dentro del apartado 7.2 Competencia. Por consiguiente, una per-
sona no formada es una persona no capacitada para afrontar las situaciones de riesgo
que le afectan en la organización. Para
Para evitar el olvido de los contenidos formativos,
o que por causa de rotación o promoción exista personal en activo no capacitado, las
actividades formativas se deben desarrollar periódicamente. De este entendimiento
derivan las tres consecuencias que indica este apartado:
• La formación no es una exigencia
exigencia generalizada, sino que solo af ecta al personal
afecta
cuyas tareas están expuestas a riesgos de compliance
compliance. Por consiguiente,
consiguiente, no todo el
personal debe
participan recibir formación
en procesos compliance
vinculadosdecon riesgos de, sino
estasolo aquellasPor
naturaleza. posiciones que
este mismo
motivo, tampoco los contenidos formativos deben ser iguales para todos, sino
que estarán adaptados a los roles y situaciones que afectan a cada colectivo,
siguiendo así un enfoque basado en el riesgo (en relación con el significado y
relevancia de este particular, véase el apartado I.6.2.2 Enfoque basado en el riesgo,
de este libro).
174 Impulsar las actividades de formación correspondientes es una actividad

activi dad que el apartado 5.3.2
Función de compliance
compliance del estándar ISO 37301:2021 atribuye a la misma. Se trata de una actividad
act ividad
que se comenta bajo el título Actividades que involucran indi
indirectamente
rectamente a la función de compl
compliance
iance”
del apartado II.5.3.2 Función de complian
comp liance
ce, de este libro. Esto significa que, aunque impulse
dichas actividades:
(i) En muchas ocasiones corresponde organizarlas e impartirlas a otros sujetos, departamentos,
áreas o funciones de la organización .
(ii) No puede garantizar la asistencia y el aprovechamiento de las mismas, que dependerá el
esfuerzo de sus distinatarios, sus competencias previas y actitudes.
(iii) Son el órgano de gob
gobierno
ierno y la alta direcc
dirección
ión las instancias que juegan un rol trascendente
en el establecimieno de los valores de la organiz
organización
ación y la consolidación de la cultura de
de
compliance
compli ance.


compliance según
EJEMPLO. Estructura razonable de los contenidos formativos.

En líneas generales, los contenidos formativos de compliance
compliance (véase
(véase la figura 21
21):
):
• Señalan cuáles son las obligaciones de compliance que
compliance que afectan a la organi-
zación,, de forma que sus destinatarios adquieran conocimiento, no solo de
zación
su contenido, sino del modo de comportarse ante circunstancias que puedan
producir su incumplimiento. En este sentido, se indican los parámetros de
conducta,, tanto deseados como no tolerados por la organización
conducta organización.. Sí incluirán
ejemplos de casos o situaciones que ilustren estas explicaciones, robusteciendo
su componente práctico y utilidad real. Puede tratarse de ejemplos sectoriales
o de experiencias vividas en la propia organización
organización..
• Relacionan los elementos de ayuda para comprender el contenido de las
obligaciones de compliance y
compliance y lo que se espera del personal
personal,, en términos de
políticas procesos o
o procedimientos
procedimientos vinculados
vinculados con los riesgos de compliance.
compliance.
Se indica su localización a efectos de consulta.
• Apuntan las consecuencias derivadas de no observar tanto las obligaciones de
compliance ( (no
compliance no cumplimientos de
de compliance
compliance)) como los requisitos
requisitos del
del sistema
sistema
de gestión dispuestos
gestión dispuestos para facilitar su cumplimiento (no(no conformidades).
conformidades). Se
explicitan las eventuales consecuencias de diferente naturaleza ante tales casos
(laboral, administrativa, mercantil, civil o incluso, penal).
• Subrayan la existencia de un sistema
gestión de
de compliance
compliance operado
operado por la
función de
de compliance
compliance,, sus competencias y tanto la identidad como la locali-
zación de sus responsables. Inciden en su disponibilidad para consultas y las
consecuencias que pueden derivarse ante la adopción de decisiones de riesgo
riesgo
sin asesorarse previamente.
Obligaciones de compliance Casos y ejemplos
Elementos de ayuda Políticas, procesos

Políticas, procesos,,
procedimientos,, etc.
procedimientos
Consecuencias de los no
Contenido cumplimientos de compliance
formativo y de las no conformidades
Sistema de gestión de
compliance y función
Elementos organizativos de compliance
Posibilidades de consulta Planteamiento de
inquietudes
Figura 21. Contenido formativo básico.

II.7 Apoyo 239
• Señalan, finalmente, los canales a través de los cuales se pueden realizar

consultas, plantear comentarios e incluso, denunciar posibles irregularidades.
Se explican sus características y, en todo caso, el estatuto de protección a los
comunicantes de buena fe.
Algunas de estas ideas pueden emplearse también en ciclos de formación para
terceras partes,
partes, siempre que no conculquen su autonomía.
A CONSIDERAR.
CONSIDERAR. La formación es selectiva.
Aunque algunas organizaciones
organizaciones planean
planean ciclos de formación en compliance
compliance de
de
contenido común para todo su personal
personal,, en verdad:
• No todo el personal
personal precisa
precisa formación en compliance
compliance..
• Ni la formación en compliance
compliance es
es la misma para el personal
personal que
que la necesita.
En aplicación del principio de proporcionalidad (véase el apartado I.6.1.2
Principio de proporcionalidad,
proporcionalidad, de este libro) y para organizaciones
organizaciones pequeñas
pequeñas y
medianas, pueden ser razonables enfoques generales. Sin embargo, a medida
que se incrementa la complejidad de la organización
organización –en
–en términos de riesgos de
compliance–– es razonable plantear la formación de manera selectiva.
compliance
• Por un lado, se identifican las obligaciones de compliance
compliance dentro
dentro del períme-
tro técnico del sistema
del sistema de gestión y
gestión y las casuísticas con capacidad de producir
escenarios de riesgo de compliance.
compliance.
• A continuación, se identifican los procesos
procesos que
que se ven afectados por las ca-
suísticas de riesgo
riesgo..
• Para
Para finalizar, se identific
identifican
an los colectivos potenci
potencialmente
almente afectados por lo
loss ries-
gos de compliance identificados
compliance identificados anteriormente. Serán normalmente posiciones
con roles relevantes en los procesos
procesos afectados
afectados por dichos riesgos
riesgos..
Se obtiene así una matriz de formación, que permite asociar los riesgos
riesgos de
de com-
pliance con
pliance con las categorías o grupos del personal
personal afectados
afectados por ellos, diseñando
así ciclos de formación adaptados.
MÁS INFORMACIÓN. Casuísticas de riesgo y colectivos afectados.

aTanto
partirlasdel
casu
casuísticas
ísticas de
ejercicio de evaluación
riesgo como
riesgo comodelosriesgos
colectivos afectados .deberían
de compliance.
compliance conocerse
Sobre esta materia
en particular,
particular, véanse las explicaciones y los ejemplos en el apartado II.4.6 Eva-
luación de los riesgos de compliance,
compliance, este libro.


compliance según
• Considerando que una persona

persona no formada equivale
equivale a una persona no capaci-
capaci-
tada para afrontar los riesgos de su posición, la organización debe asegurarse del
aprovechamiento
es deselos
insuficiente si no ciclos
mide de formación.
el nivel Por tanto,
de conocimientos impulsar gracias
adquiridos la formación
a ella.
CONSIDERAR. Asistencia vs. aprovechamiento.
A CONSIDERAR.
Los listados de asistentes proporcionan información de las personas que han
realizado la formación, pero no acerca del nivel de aprovechamiento. Un modo
habitual de medirlo es mediante exámenes sobre las materias impartidas.
A CONSIDERAR.
CONSIDERAR. Indicadores de actividad y reactivos o de eficacia.
actividad
Las evidencias sobre el nivel de asistencia a los ciclos de formación permiten
desarrollar indicadores de actividad (se demuestra la realización de la actividad
activi dad
planificada). Pero no demuestran que haya sido eficaz
eficaz..
Los resultados de las pruebas realizadas tras la formación sí constituyen indicadores
de eficacia
eficacia (o
(o reactivos), que unidos con otros indicadores de la misma naturaleza
(el descenso de las incidencias relacionadas con las materias impartidas, por
ejemplo) brindan una idea de la eficacia
eficacia de
de esta acción planificada.
Sobre los indicadores de compliance
compliance,, véanse las explicaciones del apartado
II.9.1.3 Desarrollo de indicadores,
indicadores, aunque también del apartado II.6.2 Objetivos
de compliance y planificación para lograrlos,
lograrlos, ambos de este libro.
A CONSIDERAR. Obligatoriedad
Obligatoriedad d dee la formación.
Puesto que las personas no formadas son personas no capacitadas para afrontar
los riesgos de compliance que
compliance que les afectan, la organización
organización debe
debe plantearse qué
ciclos de formación deben ser obligatorios, respetando siempre lo establecido
en el marco jurídico laboral. Para determinado tipo de actividades y materias,
tal formación puede ser una exigencia legal, lo que justifica todavía más su
obligatoriedad.
A CONSIDE
CONSIDERAR.
RAR. Observac
Observaciones,
iones, dudas y pr
preguntas
eguntas durante la formación.
Los asistentes a los ciclos de formación pueden formular observaciones o plantear
dudas o preguntas
constituyen en relación
una fuente con las materias
de información tr atadas.
tratadas.
para identificar Este tipodedepreocupación
aspectos comentarios
(incluyendo eventuales malas praxis), componentes del del sistema
sistema de gestión
gestión que
que
no se comprenden (políticas
(políticas complejas
complejas o mal comunicadas) así como cualquier
cualqui er
otro déficit. Por eso, los comentarios durante la formación están contemplados

II.7 Apoyo 241
en el apartado 9.1.2 Fuentes
9.1.2 Fuentes de opinión sobre el desempeño del compliance y
compliance y
pueden también constituir información reportable según reza el apartado 9.1.4
Informes de compliance,
compliance, ambas del estándar ISO 37301:2021.
EN BUSCA DE LA EXCELENCIA. Formación certificada.

Las partes interesadas,
interesadas, incluidas las autoridades correspondientes, pueden tener
dudas acerca de la calidad de los ciclos de formación impulsados
impul sados y desarrollados
internamente por las organizaciones
organizaciones.. En algunos sectores se valora positivamente
la formación certificada por terceras partes,
partes, de modo que un tercero indepen-
diente se ocupa de diseñar, impartir y evaluar el aprovechamiento de los ciclos
de formación. Esto traslada mayor confianza al mercado.
EN BUSCA DE LA EXCELENCIA. Pruebas redundantes.

Puesto que debe medirse el aprovechamiento de la formación, normalmente
se prepararán pruebas a completar por los convocados tras recibir las sesiones
correspondientes. Algunas organizaciones
organizaciones desarrollan
desarrollan pruebas antes y después
de los ciclos de formación, para así medir mejor la adquisición de conocimientos
por su impartición.
• Puesto que las obligaciones de compliance evolucionan, también deben variar

los contenidos formativos, de forma que se adapten a las circunstancias de la
organización
organi zación , con la lógica que determina el apartado 4.1 Comprensión de la
organización y de su contexto.
A CONSIDERAR.
CONSIDERAR. Revisión de los contenidos formativos.
Los contenidos formativos no deberían mantenerse inalterados con el paso del
tiempo. Debido a la rapidez y al número de cambios en las obligaciones
obligaciones d
dee
compliance,, es raro que no se produzcan cambios, no solo en las
compliance l as circunstancias
externas de la organización
organización (en
(en entorno normativo, por ejemplo), sino también,
en las internas (cambios estructurales, nuevas actividades, etc.). Tales
Tales novedades
deberían considerarse en los contenidos formativos. El personal
personal agradece
agradece que
se señalen expresamente los cambios respecto a las l as sesiones formativas previas
en lugar de limitarse a reiterar sus contenidos.
EN BUSCA DE LA EXCELENCIA. Aprender de la experiencia.
Es positivo aprovechar las sesiones formativas planificadas o convocar sesiones
ah hoc para
hoc para analizar incidentes o casi-incidentes reales de compliance
compliance que
que ha-
yan afectado a la organización
organización o o al sector, para extraer lecciones de ellas. Son


compliance según
actividades muy enriquecedoras, que pueden proyectarse sobre colectivos espe-

ciales de riesgo
riesgo o
o que se hayan visto involucrados
i nvolucrados en las experiencias narradas.
Sobre los casi-incidentes, véanse también las explicaciones y los ejemplos en los
apartados II.9.3 Revisión por la dirección y
dirección y II.10.2 No conformidades y acciones
correctivas,, ambos de este libro.
correctivas
A CONSIDERAR.
CONSIDERAR. Periodicidad de la form
formación.
ación.
El estándar ISO 37301:2021 señala que "la organización
organización debe
debe proporcionar
formación al personal
personal pertinente
pertinente de forma regular”, pero no concreta una perio-
dicidad exacta. Aunque existen varios factores que condicionan la periodicidad,
como la rotación del personal
personal o
o la criticidad de los contenidos formativos, se
suele considerar razonable la formación planificada anual.
EN BUSCA DE LA EXCELENCIA. Formación de inducción.

Si la única formación en compliance
compliance es
es de naturaleza planificada, no disfrutarán
disfrutar án
de ella las personas que se hayan incorporado o promocionado en la organiza-
ción tras
ción tras su impartición. Sabiendo que una persona no formada equivale a una
persona no capacitada, tal circunstancia obligaría a posponer su involucración
involucració n en
los procesos
procesos d dee riesgo
riesgo hasta
hasta la celebración de la siguiente formación planificada.
Esto no entraña un problema para las organizaciones
organizaciones que
que la imparten con una
periodicidad inferior al año, pero sí lo suele ser para el resto.
Para soslayar este inconveniente, algunas organizaciones
organizaciones se
se plantean ciclos de
formación ejecutivos de corta duración, personal
personalizados
izados y centrados en aspectos
clave, que se imparten regularmente a pequeños grupos
grupo s de personas que, por los
motivos indicados, no pudieron disfrutar de los contenidos planificados. Aplicarán
las cautelas ordinarias en cuanto a asistencia y aprovechamiento.
EN BUSCA DE LA EXCELENCIA. Formación promovida a raíz de indicadores

predictivos.
Cuando las organizaciones
organizaciones disponen
disponen de indicadores de compliance
compliance predictivos,
predictivos,
pueden plantearse ciclos de formación ad hoc si
hoc si concurren circunstancias que
lo aconsejan. Por ejemplo:
• han
Indicadores predictivos
materializado externos:tipo
determinado en eldesector dondedeopera
incidentes la organización
organización se
compliance.
compliance se
. Junto con
otras medidas preventivas, posiblemente sea el momento de plantear
pl antear sesiones
formativas ad hoc para
hoc para fortalecer el nivel de concienciación y la alerta sobre
estas materias.

II.7 Apoyo 243
• Indicadores predictivos internos: se ha observado un incremento estadísticam

estadísticamente
ente
destacable de consultas en la intranet corporativa sobre determinadas políticas
políticas
relacionadas con el compliance
compliance.. Tal
Tal vez sea el momento de plantear una for-
mación ad hoc sobre
hoc sobre
a los colectivos los contenidos
de donde de la política
política,, eventualmente proyectada
surgen las consultas.
Sobre los diferentes tipos de indicadores (de actividad, de eficacia
eficacia y
y predictivos),
véanse también los comentarios en el apartado II.9.1.3 Desarrollo de indicadores,
indicadores,
de este libro.
EN BUSCA DE LA EXCELENCIA. Periodos formativos individuales.

Mediante herramientas informáticas es posible realizar seguimiento y trazabi-
lidad individualizada de la formación (on-line
( on-line),), de manera que se recuerde y
ejecute para cada empleado en virtud de sus circunstancias (en el momento de
su incorporación
computar o promoción,
plazos para por ejemplo).
su repetición periódica Aque,
partir
pordeloese momento,
tanto, pueden
serían distintos
para cada empleado. Esta mecánica evita que existan empleados no formados,
a la espera de realizar formaciones grupales o por periodos.
Señalaba anteriormente que las actividades de formación siguen un enfoque basado

en el riesgo (véase el apartado I.6.2.2 Enfoque basado en el riesgo, de este libro). La
consecuencia lógica,
ló gica, también indicada en este apartado, es que no solo se proyectarán
sobre el personal que participa en proc
procesos
esos expuestos a riesg
riesgos
os de complian
compliance
ce, sino también,
sobre terceras partes cuya relación con la organización es susceptible de exponerla. Esta
era una cuestión no tratada en el apartado equivalente del estándar ISO 19600:2014,
que solo se proyectaba sobre los empleados.
Existen riesgos de compliance
compliance –tanto de trasmisión de responsabilidades legales como
de daños en la reputación– que pueden venir inducidos por terceras partes con las
que se mantienen vínculos; de ahí la importancia de los procedimientos de debida
diligencia de proyección externa que contempla el apartado 8.1 Planificación y control
operaciona
operacionall. Dado que las terceras partes pueden exponer a las organ
organizacio
izaciones
nes, igualmente
cabe proyectar actividades formativas sobre ellas.
A CONSIDERAR. Prioridad sobre terceras partes que entrañan riesgos de

compliance.
Al igual que los ciclos de formación destinados al personal
personal,, aquellos que se pro-
yectan sobre terceras partes deben hacerlo especialmente sobre las que presentan
riesgos de
compliance,, de acuerdo con el resultado del ejercicio de evaluación
de riesgos de compliance,
compliance, que se explica con ejemplos en el apartado II.4.6
Evaluación de los riesgos de compliance,


compliance según
MÁS INFORMACIÓN. Actividades formativas sobre terceras partes y efectos

jurídicos derivados.
Dependiendo de su enfoque y de las circunstancias, las acciones formativas

destinadas a terceras partes pueden
partes pueden ser interpretadas como un indicio de que,
en verdad, forman parte de la organización
organización,, con las consecuencias jurídicas que
se derivan de ello. Este puede ser el caso cuando:
• La formación es obligatoria, de modo que algunos terceros terceros deben
deben realizarla
para mantener su vínculo con la organización
organización..
• La formación incluye referencia a políticas
procesos y
y procedimientos de la
organización,, con contenidos y un nivel de detalle análogo al que utiliza para
organización
su personal
personal..
Este tipo de circunstancias puede comprometer la independencia de las terceras
partes y
partes y desencadenar consecuencias legales para la organización
organización.. Sobre este
particular, véanse las explicaciones y los ejemplos que recoge
reco ge el apartado II.7.2.1
Generalidades,, de este libro.
Generalidades
Impartir formación a terceras partes es una decisión delicada. En ocasiones, no es posible

posib le
obligarles a ello y, en otros casos, puede ser considerado una invasión a su autonomía
empresarial.
empresar ial. Consciente de esta problemática, el estándar ISO 37301:2021 establece
con cienciación con terceras partes,
las actividades de formación, pero también, las de concienciación
brindando la flexibilidad de ambas opciones.
Los registros relativos a la formación deben mantenerse como información documen-
tada (véase el apartado II.3.10 Información documentada, de este libro, y también los
lo s
comentarios al apartado 7.5 Información documentada del estándar ISO 37301:2021,
que libro).bajo este mismo título, en el apartado II.7.5 Información documentada,

figuran,
de este
II.7.3. Toma de conciencia

Las actividades de concienciación se encuadran en el apartado 7.3 Toma de co concienc
nciencia
ia
del estándar ISO 37301:2021, distinto del apartado 7.2 Competencia, que es donde se
ubica la formación. Esta separación
separació n subraya la diferencia conceptual entre unas activi-
dades y otras: mientras que la formación es una forma de capacitación para afrontar
las situaciones
estado de riesgo
general de que afectan
conocimiento a sus
sobre destinatarios,
aspectos la compliance
básicos de concienciación
y de induce un
vigilancia
ante su contravención. De este modo, cualquier persona, tanto dentro como fuera
de la organización, conocerá el marco esencial de compliance de la organización y sabrá
cómo comportarse ante situaciones que la amenacen. Esta distinción conceptual
con ceptual no

II.7 Apoyo 245
es tan evidente en el estándar ISO 37001:2016, que trata conjuntamente la forma-

ción y la concienciación (apartado 7.3 Toma de conciencia y formación. Es un apartado
separado del 7.2 Competencia, que no aborda esta materia).

A CONSIDERAR.
CONSIDERAR. Dificultad en la evaluac
evaluación
ión de su aprovechamiento.
A diferencia de las actividades de formación, las de concienciación no van ne-
cesariamente dirigidas a colectivos concretos, sino a una pluralidad
plur alidad anónima de
destinatarios. En este caso, la aplicación del enfoque basado en el riesgo
riesgo (véase
(véase
el apartado I.6.2.2 Enfoque basado en el riesgo,
riesgo, de este libro) pivota más sobre
las materias difundidas que en la especificidad de sus destinatarios 175. Por estos
motivos, habitualmente no dan lugar a listados de asistentes ni evidencias de
aprovechamiento.
Aunque es difícil
di fícil medir su
su desempeño
desempeño,, puede vincularse a indicadores de acti-
vidad (el mero lanzamiento

(comprobación de campañas,
de la disminución por relacionados
de incidentes ejemplo) y también
con la de eficacia
eficacia
campaña).
Pero su relación causa-efecto es más difícil de constatar y de medir que
que en los
de formación selectivos.
EN BUSCA DE LA EXCELENCIA, Materiales para la toma de conciencia

dirigidos al personal.
Existe pluralidad de materiales que pueden dar soporte a campañas de con-
cienciación eficaces
eficaces,, la mayoría de los cuales no requiere grandes desembolsos
económicos. Es erróneo pensar que las actividades de formación y de toma de
conciencia son patrimonio de las grandes organizaciones
organizaciones,, pues también las pe-
queñas y las medianas recurren a ellas aplicando el principio de proporcionalidad
(véase el apartado I.6.1.2 Principio de proporcionalidad,
proporcionalidad, de este libro).
Veamos algu
algunos
nos ejemp
ejemplos
los de mater
material
iales
es que puede
puedenn sopor
soportar
tar campa
campañas
ñas de
concienciación eficaces
eficaces::
• Preparación y colocación de cartelería con mensajes de compliance
compliance en
en lugares
visibles de acceso común en la organización
organización (salas
(salas de descanso, comedores,
coffeee points,
points, salas de reuniones, pasillos, etc.).
• Elaboración de vídeos y proyección de los
l os mismos en los monitores de lugares
l ugares
visibles de acceso común en la organización
organización (salas
(salas de descanso, comedores,
coffeee points,
points, salas de reuniones, monitores de ascensores, monitores en los
medios colectivos de transportes de la organización
organización,, etc.).
175 Pueden planificarse actividades selectivas de toma de conciencia, por ejemplo, localizando
cartelería ad hoc en ciertos emplazamientos de la organización , en los que únicamente concurren
ciertos colectivos. No obstante, la trazabilidad de su aprovechamiento es limitada.


compliance según
• Preparación de frases con citas o mensajes de compliance

compliance,, a elaborar mediante
letras transferibles ubicables en las paredes de emplazamientos de uso profe-
sional común (salas de juntas, salas de reuniones, pasillos, etc.).
• Elaboración de mensajes y consejos de compliance
compliance,, a proyectar como salva-
pantallas en los monitores de la organización
organización,, cuando están desatendidos.
• Elaboración de merchandising
merchandising con
con mensajes de compliance
compliance,, como calendarios,
mugs,, lápices y bolígrafos, stick-notes
mugs bolígrafos, stick-notes,, etc.
• Elaboración y difusión de elementos físicos de ayuda, tales como flyers
flyers o
o fichas
refrescando el contenido esencial de políticas
políticas y
y procedimientos
procedimientos de
de compliance
compliance,,
recordando su ubicación en la intranet y señalando canales de atención ante
dudas de su contenido.
• Publicación de artículos en los medios de comunicación corporativos (revistas
internas), con noticias sobre compliance
compliance que
que afectan a la organización
organización,, comu-
nicaciones sobre novedades o logros conseguidos.
• Lanzamiento de concursos internos para promover mejoras en compliance
compliance
(mejora de políticas
procesos o
o procedimientos
procedimientos,, por ejemplo) o de reconoci-
miento de las conductas más alineadas con los objetivos
objetivos de
de compliance
compliance,, en
el último periodo.
Algunas de estas ideas puede
Algunas puedenn emple
emplearse
arse tambié
tambiénn para campa
campañas
ñas de concie
conciencia
ncia--
ción dirigidas a terceras partes,
partes, siempre que no conculquen su autonomía legal.
El estándar ISO 37301:2021 resume los contenidos del antecedente ISO 19600:2014
y traslada una buena parte de ellos a los apartados A.7.3 Toma de cconcie
onciencia
ncia y A.5.1.2
Cultura
mento, endelínea
compliance
con la, naturaleza
ambas del de
anexo A (informativo)
un MSS Guía para el uso de este docu-
de tipo A (certificable).
Dejando de lado estas adaptaciones, este apartado continúa siguiendo el mismo en-
foque de su norma antecesora, al proyectarse sobre las personas que trabajen bajo el
control de la organización. No recurre al concepto de “ personal” deliberadamente, para
enfatizar que las actividades para la toma de conciencia tienen un perímetro natural
de aplicación mucho más amplio, proyectándose tanto a individuos encuadrables bajo baj o
esa categoría como a “terceras partes”.
EJEMPLO. Actividades de toma de conciencia dirigidas a terceras partes.

Las actividades de toma de conciencia dirigidas a terceras partes no
partes no suelen pre-
sentar la problemática asociada a las acciones formativas
for mativas que se han explicado
en el apartado anterior de este libro. Su finalidad esencial suele ser:
• Dar a conocer a los terceros
terceros los
los valores de la organización
organización y
y la falta de tole-
rancia a las conductas que los amenacen.

II.7 Apoyo 247
• Cubrir las obligaciones

obligaciones de
de compliance
compliance que
que les incumben. Si procede, explicar
cómo figuran establecidas en la relación jurídica que les vincula con la orga-
nización y
nización y las consecuencias de no observarlas.
• Dar a conocer mecanismos de control interno que las terceras partes pueden
partes pueden
desarrollar en sus organizaciones
organizaciones,, en el caso de que carezcan de ellos.
Todo ello recogiendo los contenidos básicos que relaciona el estándar ISO
37301:2021 y que se explican más adelante.
EN BUSCA DE LA EXCELENCIA. Ayudar a la difusión del compliance en

terceras partes.
Algunas organizaciones
organizaciones desarrollan
desarrollan ciclos de concienciación a sus proveedores
acerca de la importancia y los contenidos
cont enidos esenciales de los modelos de compliance
compliance,,
de forma que adquieran conciencia sobre su utilidad y se planteen dotarse de
ellos. En ocasiones, estas iniciativas se desarrollan junto con plataformas secto-
riales que impulsan las buenas prácticas sobre gobierno corporativo y la mejora
de la competitividad.
El estándar ISO 37301:2021 plantea contenidos básicos de las actividades de toma

de conciencia. De acuerdo con ellos, sus destinatarios (sean personal o terceras partes)
deberían terminar conociendo:
• La existencia y el contenido esencial de la política de compliance . Esto llevará
normalmente aparejada su puesta a disposición.
MÁS INFORMACIÓN. Contenido de la política de compliance.

Acercaa del conte
Acerc contenido
nido que el están
estándar
dar ISO 37301
37301:2021
:2021 exige a la política de
de com-
pliance,, véase el apartado II.5.2 Política de
pliance de compliance
compliance,, de este libro, que divide
su contenido en tres grupos: “ Aspectos a considerar por el órgano de gobierno
y la alta dirección”,
dirección”, “Condicionantes
contenido” y “Materias
con su custodia y comunicación”.
comunicación”.
• Cómo impactan los contenidos de la política de compliance y las obligaciones de

compliance en su rol concreto con la organización.
EJEMPLO. Concreción de mensajes.
Los destinatarios de las actividades de toma de conciencia no deberían percibir-
las como un cúmulo de mensajes cargados de buenas intenciones, sino como
cuestiones que afectan a su rol respecto a la organización
organización y
y sobre las que debe
mantenerse alerta. Así, por ejemplo, la tolerancia cero a los no cumplimientos de
de


compliance según
compliance declarada en la política de compliance

compliance declarada compliance puede
puede vincularse, en casos
de subcontratistas de obra, a que se vigilará especialmente y no se permitirá
que infrinjan, entre otras, las obligaciones relacionadas en cuanto a seguridad
e higiene en el trabajo.
tiene su conducta para la eficacia del sistema de gestión de

• La importancia que tiene
compliance de la organización. Se trata de evitar que las actividades de toma de
conciencia se consideren alejadas de su actividad o incumbencia.
acarrea un desempeño de compliance mejorado.
• Los beneficios que acarrea
EJEMPLO. Beneficios de un buen desempeño de compliance.

Evidenciar conductas
conductas ejemplares
ejemplares o mejorar las que se habían estado observando
puede reportar ventajas, tanto para el personal
personal como
como para terceras partes.
Para el personal
personal pueden
pueden fijarse mejoras en términos salariales
salari ales o de capacidades
de promoción a determinadas posiciones, respetando el marco jurídico laboral
aplicable. Para terceras partes,
partes, una mejora en su puntuación en los procesos
procesos
de contratación u otros beneficios que sean legítimos conforme a la normativa
administrativa o mercantil176.
• Las consecuencias de no cumplir con aquellos requisitos del sistema de ggestión

estión
de compliance que les afecten, advirtiendo de la reacción que puede presentar
la organización ante tales supuestos, en línea con lo también establecido en el
apartado 5.2 Pol
Política
ítica de compliance.
A CONSIDERAR.
CONSIDERAR. Consecuencias legales.
Las consecuencias derivadas de las no conformidades y
conformidades y los no cumplimientos de de
compliance pueden
compliance pueden tener alcance legal, en el ámbito laboral, administrativo, civil
e incluso, penal. Es importante que los destinatarios de la política de
de compliance
compliance y
y
de las actividades de formación y concienciación adquieran conocimiento
conocimi ento de ello.
176 Conviene recordar siempre que todos los requisitos o recomendaciones del estándar ISO
37301:2021 deben estar amparados por el marco legal de aplicación, sin necesidad de que se
reitere este condicionante de manera continua. Sobre este particular, véanse los comentarios en el
apartado I.6.2.1 Principio de subordinac
subordinación
ión a Ley , de este libro.
li bro.

II.7 Apoyo 249
MÁS INFORMACIÓN. Incentivos y correctivos.

En relación con el régimen sancionador asociado con vulneraciones de la polí-
tica de compliance
compliance,, véanse las explicaciones y los comentarios que figuran bajo
el título “Condicionantes
contenido” dentro el apartado II.5.2 Política de
de
compliance,, de este libro. Desde una perspectiva más amplia, véanse también las
compliance
explicaciones y los ejemplos en materia de incentivos
i ncentivos y correctivos que aparecen
en el apartado II.5.3.1 Órgano de gobierno y alta dirección,
dirección, también de este libro.
• Los medios o herramientas puestos a disposición para que puedan trasladar

inquietudes a la organi
organización
zación , en línea con lo establecido en el apartado 8.3
Planteamiento de inquietudes.
MÁS INFORMACIÓN. Planteamiento de inquietudes.

En relación con los mecanismos para el planteamiento de inquietudes, véanse
las explicaciones y los ejemplos del apartado II.8.3 Planteamiento de inquietudes,
inquietudes,
de este libro.
• La trascendencia que tiene todo lo anterior,

anterior, no como conjunto de prácticas aisladas,
sino como factores determinantes de una cul cultur
turaa de com
compli
plianc
ancee. La toma de con-
ciencia será plenamente efe
efecti
ctiva
va cuando sus destinatarios
destinatarios interioricen la importancia
de mantener una cult
cultura
ura de com
complia
pliance
nce, no solo por obligación y en cuanto a su
relación concreta con la orga
organiz
nizació
aciónn, sino para ellos mismos y sus relaciones.
MÁS INFORMACIÓN. Medición del nivel de cultura de compliance.

Acerca de la cultura de compliance y
compliance y su forma de medición
medición (indiciaria
(indiciaria o basada
en el agregado de opiniones), véanse las explicaciones del apartado II.5.1.2
Cultura de compliance,
II.7.4. Comunicació
Comunicación
n
El principio de transparencia (véase el apartado I.6.1.4 Principio de transparencia, de
este libro) guarda especial relación con lo indicado en el apartado 7.4 Comunicación
del
en elestándar ISO
sistema de 37301:2021.
gestión El normal
de compliance desarrollo
conlleva de las actividades
realizar comunicaciones planificadas
tanto internas
como externas a la organización. Como se explicará más adelante, existen numerosos
aspectos a comunicar en ambas esferas, hasta tal punto que su ausencia es sospechosa
en cuanto a la funcionalidad del sistema de gestión.


compliance según
El estándar ISO 37301:2021 establece de manera conjunta las comunicaciones in-

ternas y externas, en lugar de segregar su tratamiento, como hizo antes el estándar
19600:2014.
certificable), seUna parteahora
ubican de esos coapartado
contenidos,
en el ntenidos,A.7.4
más propios de un MSS
Comunicación de Tipo
del anexo B (no
A (infor-
mativo) Guía para el uso de este documento.
En materia de complia
compliance
nce, la organiz
organización
ación debe reflexionar sobre los aspectos relevantes
a comunicar, concluyendo qué informaciones o hechos deberán comunicarse, cuándo
deberá hacerse, así como a quién irán dirigidas y de qué manera. Este guion básico
es el mismo, tanto para las comunicaciones internas como para las externas.
A CONSIDERAR.
CONSIDERAR. Cómo comunicar. Rompiendo barr
barreras.
eras.
Es fundamental que las actividades de compliance
compliance lleguen
lleguen a sus destinatarios.
No es solo cuestión de facilitarles materiales en forma de acciones formativas
o de concienciación, etc., sino también, de hacerlo en los idiomas adecuados,
utilizando un lenguaje y un vocabulario que faciliten su comprensión. La mejor
comunicación no es siempre la más técnica, sino la que se comprende mejor.
En relación con el modo de mejorar el entendimiento de los documentos de
compliance,, véanse también las explicaciones y los ejemplos que figuran bajo
compliance
el título “Condicionantes
contenido” dentro del apartado II.5.2 Política de
compliance
Adicionalmente, se espera de las organizaciones
organizaciones que
que ayuden a la integración de
personas discapacitadas, lo que implica mejorar las opciones de accesibilidad
a las diferentes actividades y comunicaciones.
A CONSIDERAR.
CONSIDERAR. Departamentos de comunicac
comunicación
ión o equivalentes.
Las actividades de comunicación en materia de compliance
compliance,, tanto internas como
externas, suelen constituir un ámbito de colaboración con los departamentos
internos de relaciones institucionales, relaciones con inversores, comunicación y
equivalentes. Sobre las interacciones con estos equipos, véanse las explicacio-
nes y los ejemplos que se desarrollan en el apartado II.4.2 Comprensión de las
interesadas, de este libro.
EJEMPLO. Algunas comunicaciones internas.
A continuación,
continu ación, se muestran al
algunos
gunos ejemplos de comuni
comunicaciones
caciones internas de
naturaleza general:
• Comunicado de designación de los miembros de la función de de compliance
compliance,,
sus competencias y la obligatoriedad de colaborar con ellos.

II.7 Apoyo 251
• Comunicado de nuevas incorporaciones o sustituciones

sustituciones en el equipo de compliance
compliance..
• Comunicado sobre los objetivos
objetivos d
dee compliance
compliance.. Qué se espera de las personas
que se vinculan a la organización

organización en
en cuanto a los mismos.
• Comunicado del lanzamiento nuevas políticas
procesos o
o procedimientos
procedimientos,, de
aplicación general.
• Comunicado informando del resultado de la aplicación de determinados
controles, señalando objetivos
objetivos conseguidos
conseguidos y aspectos a mejorar (cuando son
conclusiones de incumbencia general).
• Comunicado del resultado de auditoría
auditoríass de compliance
compliance,, señalando logros y
aspectos de mejora (cuando son resultados de incumbencia general).
• Comunicado de logros de compliance
compliance de
de interés general, especialmente cuando
hayan supuesto evitar o minimizar daños económicos o de reputación.
• Comunicado de nuevos requisitos

requisitos de
de compliance
compliance que
que afectan al personal
personal o
o a
terceras partes.
partes.
• Comunicado de ciclos de formación, obligatorios y voluntarios.
• Comunicado de incidentes de compliance
compliance con
con repercusión mediática, tanto
de competidores como eventualmente propios, facilitando información que
ayude a su gestión.
Otras comunicaciones también internas, pero destinadas a colectivos específicos
son:
• Comunicado sobre aquellos objetivos
objetivos de
de compliance
compliance tácticos
tácticos u operativos, que
afectan a determinados colectivos en parti
particular
cular..
• Comunicado del lanzamiento de nuevas políticas
procesos o
o procedimientos
procedimientos
que afectan solo a determinados destinatarios.
• Comunicado informando del resultado
result ado de la aplicación de determinados con-
con-
troles, señalando objetivos
objetivos conseguidos
conseguidos y aspectos a mejorar (cuando aplican
a un colectivo acotado).
• Comunicado del resultado de auditoría
auditoríass relacionadas con compliance
compliance,, señalando
logros y aspectos de mejora (cuando son resultados que afecten exclusivamente
a un determinado colectivo).
• Comunicado de nuevos requisitos
requisitos de
de compliance
compliance que
que afectan exclusivamente
a ciertos colectivos, actividades o procesos
procesos..
• Comunicado de los ciclos de formación, obligatorios y voluntarios, dirigidos
a colectivos específicos.
• Comunicación de incidentes de compliance
compliance que
que no afectan a toda la orga-
nización,, sino solo a determinadas áreas, unidades de negocio o funciones.
nización


compliance según
Finalmente se muestran algunos ejemplos de comunicaciones de compliance

compliance
relacionadas con la cadena interna de información, en línea con lo indicado en
el capítulo 9 Evaluación del desempeño:
desempeño:
• Reportes operativos de compliance
compliance..
• Memorias anuales de compliance
compliance..
• Documentos o informes ad hoc de
hoc de compliance
compliance..
• Resultado o recomendaciones de las auditoría
auditoríass relacionadas con compliance
compliance..
Normalmente, esta información o documentación estará anexada a cualquiera
de las comunicaciones anteriores.
EJEMPLO. Algunas comunicaciones externas.
Algunos casos de comunicaciones externas frecuentes son:

son:
• Comunicados dirigidos a medios, de forma voluntaria o como reacción frente
a comunicados previos o incidentes de compliance
compliance..
• Comunicados obligatorios o voluntarios dirigidos a las partes interesadas,
interesadas,
especialmente a las autoridades regulatorias o de supervisión.
• Comunicaciones que se añaden obligatoriamente a la cadena de información
info rmación
externa (estados de información no financiera, por ejemplo), o voluntariamente
como información adicional que ayuda a interpretar la gestión de la organización
organización..
A CONSIDERAR.
CONSIDERAR. Reiteración de comunicaci
comunicaciones.
ones.
Reiterar determinadas comunicaciones puede ser una actividad saludable: obli-
gatoriedad de la formación, existencia de determinada política
política o
o procedimiento
procedimiento,,
necesidad de consultar a la función de
de compliance
compliance ante
ante dudas en su materia,
etc. En ocasiones, aspectos que fueron correctamente comunicados se olvidan
por el transcurso del tiempo o debido a la rotación del personal
personal..
A CONSIDERAR.
CONSIDERAR. Soporte explícito a di
directivos,
rectivos, mandos intermedios y al
personal.
Es una buena práctica que el órgano de gobierno y
gobierno y la alta dirección acompañen
dirección acompañen
y den soporte a directivos y mandos intermedios en cuestiones relacionadas
r elacionadas con
el compliance
compliance.. Este tipo de soporte explícito, no solo hace visible su compromiso
con impulsar una cultura de compliance,
compliance, sino que refuerza la eficacia
eficacia de
de las
comunicaciones.

II.7 Apoyo 253
EN BUSCA DE LA EXCELENCIA. Soporte explícito a la función de compliance.

Algunas
Algu nas organizaciones
organizaciones incrementan
incrementan el empoderamiento y la legitimidad de
la función de
de compliance
compliance,, poniendo en valor sus cometidos y logros mediante
comunicaciones internas. Así, por ejemplo, se puede difundir internamente la
consecución de un certificado o sello de la calidad en materia de compliance
compliance,,
la mención o el otorgamiento de premios o menciones externas a la función de de
compliance,, méritos obtenidos por cualquiera de sus miembros (obtención de
compliance
cualificaciones, etc.), su participación en cursos o eventos destacados, la contri-
bución de la función de
de compliance
compliance para
para solventar algún incidente relevante, etc.
EN BUSCA DE LA EXCELENCIA. Los sites internos y externos de compliance

a efectos de comunicaciones.
El uso dede sites
pongan delas tecnologías
internos ydeexternos
sites internos la información permite
donde figura que las organizaciones
organizaciones dis-
la información dis-
de compliance
compliance
y donde también se pueden publicitar comunicaciones relacionadas con esta
materia.
En relación con los contenidos de una eventual página web en la intranet corpo-
rativa, así como los que cabría ubicar
u bicar también en la página web externa, véanse
las explicaciones y los ejemplos que figuran bajo el título “Materias
con su custodia y comunicación”
comunicación” dentro del apartado II.5.2 Política de
de compliance
compliance,,
de este libro.
Un aspecto novedoso que introduce el estándar ISO 37301:2021 es la n necesidad

ecesidad de
tener en cuenta aspectos de diversidad y barreras que puedan afectar a la comunica-
ción. Este requisito implica considerar múltiples cuestiones prácticas susceptibles de
erosionar la eficacia de las comunicaciones.
Los procesos de comunicación, tanto interna como externa, deben formar parte de la
cultura de la organización, sus objetivos y obligaciones. Es un modo de impulsar los
principios de buen gobierno (véase el apartado I.6.1.1 Principio de buen gobierno, de
este libro) y transparencia (véase el apartado I.6.1.4 Principio de ttransparencia
ransparencia, de este
libro) del estándar ISO 37301:2021. No se quiere asociar compliance con la opacidad
o la ocultación de incidentes por vergüenza. Sin embargo,
embargo, para que este enfoque no
prematuro o irresponsable, es preciso que la organización
se convierta en un ejercicio prematuro
reflexione previamente sobre qué, cuándo, a quién y cómo cursar tales comunicaciones.
También
T
esambién en esta
coherente esta línea,
con la organización
la tratada debe
en el sistema asegurar
de gestión que la información
de compliance comunicada
y que es fiable. Estos
últimos aspectos implican establecer medidas para garantizar que la información de
compliance no se omite, altera o corrompe en el transcurso hacia su comunicación
(interior o exterior).


compliance según
A CONSIDERAR.
CONSIDERAR. Fiabilidad de la infor
información
mación no financiera.
Cada vez más reguladores inciden en la importancia de que las organizaciones
organizaciones
no solo aseguren la calidad de la información financiera, sino también, de la no
financiera (incluyendo aspectos de compliance
compliance).). A tales efectos, suele recomen-
r ecomen-
darse que los controles desarrollados por los departamentos de auditoría
auditoría interna
interna
se proyecten sobre ambas esferas para ofrecer aseguramiento de la fiabilidad de
las informaciones clave que se manejan en la organización
organización..
EJEMPLO. Revisión de información relativa a compliance utilizada por

otras funciones.
Algunas funciones de la organización
organización pueden
pueden precisar incorporar informaciones
de compliance
compliance en
en los informes internos o externos que elaboran. Las funciones
sinérgicas que figuran con ejemplos en el apartado II.4.2 Comprensión de las
interesadas, de este libro, son un ejemplo
de algunas que pueden precisar tales informaciones. El principio de transpa-
rencia que contempla el estándar ISO 37301:2021 abogaría por compartir la
información de compliance
compliance internamente,
internamente, salvo cuando existan motivos fundados
para no hacerlo (confidencialidad, por ejemplo). Sin perjuicio de lo anterior
anterior,, no
deberían comunicarse datos o informaciones de compliance
compliance que
que no hayan sido
supervisados por la función de
de compliance
compliance..
En cuanto a las
l as comunicaciones internas, es importante que lleguen a los diferentes
niveles
de gestión la organiza
de de organización
ción y yde
compliance quetrasladar al personal laen
se brindeinquietudes, posibilidad
línea con de
lo mejorar el sistema
establecido en el
apartado 8.3 Planteamiento de inquietudes.
EJEMPLO. Sesiones de trabajo (Workshops y Forum groups).

Con ocasión de explicar novedades o incidentes que afectan a grupos de per-
sonas, es interesante plantear sesiones de trabajo (“Workshops
(“ Workshops”)”) o de debate
(“
(“Forum
Forum groups”),
groups”), donde tengan ocasión de trasladar sus opiniones y sugeren-
cias de mejora. Son buenos entornos para dedicar un tiempo a las “lecciones
“ lecciones
aprendidas”, esto es, analizar o compartir las causas raíz de los
lo s incidentes de
aprendidas , esto es, analizar o compartir las causas raíz de los
lo s incidentes de
compliance,, aspectos que no han funcionado correctamente, acciones correc-
compliance
tivas que se derivaron, etc. No solo se abre un espacio de comunicación, sino
tivas que
también, una vía para obtener información relevante, en línea con las expli-
caciones y los comentarios del apartado II.9.1.2 Fuentes de opinión sobre el
desempeño del compliance,

II.7 Apoyo 255

En relación con los canales dispuestos por la organización
organización para
de inquietudes (que incluyen, pero no se limitan a los conocidos comúnmente
como “canales de denuncia”), véanse los comentarios y los ejemplos que se
recogen en el apartado II.8.3 Planteamiento de inquietudes,
En cuanto a las comunicaciones externas, el estándar ISO 37301:2021 señala también

como novedad su eventual enlace con los procesos de comunicación ya existentes en la
organización y a la necesidad de hacer referencia a la cultura de compliance, así como
los objetivos de compliance y obligaciones.
A CONSIDERAR.
CONSIDERAR. Coordinación en la elabora
elaboración
ción de informes externos.
Cadaque
ción vez trascienda
son más frecuentes
fr ecuentes
los datoslaseconomicofinancieros
exigencias legales acerca deorganizaciones
de las publicitar informa-
organizaciones. . En
muchas ocasiones, disponer de información contable no permite conocer bien la
calidad de la gestión, precisándose información adicional que valoran las partes
interesadas.. Por este motivo, tanto la normativa como los órganos reguladores
interesadas
y supervisores tienden a establecer requisitos
requisitos de
de comunicación pública de infor-
mación no financiera, en gran medida vinculada con el compliance
compliance..
Puesto que estas nuevas informaciones se añaden al proceso
proceso interno
interno de recolec-
ción y consolidación de datos que ya se estaban ejecutando desde otras áreas
(principalmente sobre materias financieras), es importante impulsar una interac-
ción fluida con la función de
de compliance
compliance que
que garantice la calidad de los datos
que se harán públicos y evite la desconexión entre flujos de informaciones. No
debería hacerse público ningún dato o información de compliance
compliance que
que no haya
supervisado la función de
de compliance
compliance..
La org
organi
anizac
zación
ión mantendrá sus comunicaciones como inf
inform
ormaci
ación
ón doc
docume
umenta
ntada
da
(véanse los comentarios al concepto de Información documentada en el apartado
II.3.10 Información documentada. de este libro. También
También los comentarios al apartado
7.5 Información documentada del estándar ISO 37301:2021, que figuran, bajo este
mismo título, en el apartado II.7.5 Información documentada, de este libro).
II.7.5. Información documentada
Generar o mantener una cultura de compl
compliance
iance es una cuestión de fondo,
fon do, no de formas.
Siendo este el objetivo trascendente de todo modelo de compl
compliance
iance, podría conseguirse
descuidando evidencias documentales. Sin embargo,
embargo, este escenario plantearía problemas


compliance según
de prueba ante terceras partes, pudiendo la organ

organizac
ización
ión sufrir apuros a la hora de demos-
trar su cuidado al respecto.
respecto. Por eso,
eso, no es extraño que algunos textos legales vinculen el
compliance
compliance conarticula
37301:2021 el mantenimiento
un MSS de tipode ciertas evidencias por
A (certificable), documentales. El estándar
lo que mantener ISO
documen-
tación acerca del sistem
sistemaa de gestión constituye un factor importante de cara a la revisión
por parte de un tercero independiente. Cabe recordar que uno de los principios que
invisten todo trabajo de revisión o auditoría es el de escepticismo profesional, que obliga
a poner en duda cualquier manifestación que no venga refrendada documentalmente.
Información documentada
d ocumentada es un concepto definido dentro del capítulo 3 Términos y
definiciones del estándar ISO 37301:2021 (véase el apartado II.3.10 Información do-
cumentada, de este libro). Este apartado 7.5 Información documentada
documentada desarrolla sus
características que, no olvidemos, aplican sobre (esta distinción proviene de la nota 2
a la definición 3.10 Información documentada):
• “El sistema de gestión (3.4), incluidos los procesos (3.8) relacionados.

creada para que la organización opere (documentación).
• La información creada
• La evidencia de los resultados
resultados alcanzados (registros)”.
(registros)”.
Como sucede también en otros apartados, el estándar ISO 37301:2021 recoge los
contenidos de su antecesor ISO 19600:2014, aunque localiza algunos de ellos en
el comúnmente apartado A.7.5 Información documentada del anexo A (informativo)
Guía para el uso de este documento, al tratarse más bien de ejemplos que ilustran la
aplicación práctica de los conceptos. Por lo demás, su estructura general y contenidos
son esencialmente coincidentes.
La organización debe mantener información documentada sobre aquellos requisitos que
37 301:2021. Figuran relacionados en el anexo I Información
señala el estándar ISO 37301:2021. Información
A CONSIDERAR.
CONSIDERAR. Repositorio clave de evidencia
evidencias. s.
Al margen
margen ddee que sea preciso disponer de eellas
llas pa
para
ra obten
obtener
er una declaración de
conformidad por parte de un tercero independiente (certificación), los requisitos
requisitos d
dee
información documentada que
documentada que exige el estándar ISO 37301:2021 son también
un modo de asegurarse de que la organización
organización dispone
dispone de un repositorio de cali-
dad con evidencias de su diligencia en materia de compliance
compliance.. Por consiguiente,
más allá de su utilidad a efectos de certificación,
certif icación, debe interpretarse la necesidad
de información documentada como
documentada como una salvaguarda para la organización
organización ante
ante
situaciones que cuestionen su gestión.

II.7 Apoyo 257
A CO
CONS
NSID
IDERAR.. La información documentada no es un simple requisito formal.
ERAR
La información documentada acredita
documentada acredita que la organización
organización ha
ha observado los
requisitos del
requisitos del estándar ISO 37301:2021 y, sobre todo, ha desarrollado las ac-
tividades asociadas con los mismos.
A CON
CONSIDE
SIDERAR.
RAR. La relación de información documentada disponible como
relación
primera aproximación.
Un modo rápido de comprobar el nivel de proximidad de un sistema
gestión
respecto al estándar ISO 37301:2021 consiste en validar la concurrencia de la
información documentada que requiere. De esta manera, un listado con los requi-
sitos de
sitos de información
información documentada conforma
documentada conforma un guion
guio n de utilidad para observar,
en una primera aproximación, si el sistema
el sistema de gestión a
gestión a analizar dispone de un
marco documental aparentemente robusto. Por eso, no es extraño que algunas
entidades de certificación soliciten esta información antes de comprometerse
a desarrollar sus servicios de evaluación de la conformidad. Véase el anexo I
Información documentada,
requisitos de información documentada que se señalan en cada apartado

Junto con los requisitos
del estándar ISO 37301:2021, cabrá añadir aquellos otros que el propio sistema de
gestión de cada organización haya incorporado.
A CO
CONSI
NSIDERAR. Información documentada necesaria, más allá del estándar.
DERAR.
Cuando la
estándar organización se
organización
ISO 37301:2021 seen
autoimpone
materia derequisitos
requisitos adicionales
adicionales
información a los fijados
documentada, por el
no cumplirlos
compromete la evaluación de conformidad del sistema
del sistema de ge
gestión
stión,, puesto que su
existencia, características y adecuado mantenimiento pasan a ser obligatorios, en
virtud de lo establecido en el apartado 7.5 Información documentada.
documentada.

compliance según
En cuanto al nivel de detalle de la informa

información
ción document
documentada
ada, variará en aplicación
del principio de proporcionalidad (véase el apartado I.6.1.2 Principio de proporciona-
177
lidad , de este libro), que viene implícitamente reconocido en este apartado . Por
consiguiente, no es raro observar grandes diferencias de informa
información
ción documenta
documentada da
entre organizaciones, aunque siempre deberá reflejar razonablemente los requisitos de
donde trae causa178.
II.7.5.2. Creación y actualización de la información

documentada
Cualquier evidencia no reviste automáticamente la calificación de información docu-
mentada. Para que se adecúe al concepto, debe estar claramente identificada, utilizar
un soporte adecuado e incorporar constancia de su revisión y aprobación.
EJEMPLO, Cajetín con información esencial.

Muchos documentos organizativos, incluidas especialmente las políticas
políticas y
y los
procedimientos,, incorporan un cuadro con información esencial acerca del texto.
procedimientos
Son contenidos típicos de este tipo de cajetines los siguientes datos:
• Identificación de la norma, esto es, el nombre de la política
política o
o procedimiento
procedimiento..
• Naturaleza y alcance de la norma: política
política o o procedimiento
procedimiento,, global o local.
• Versión de la norma.
• Fecha y órgano de aprobación de la norma. Suelen aparecer los cargos y
las firmas de los miembros del órgano responsable de su aprobación como
evidencia de su validez.
• Fecha de aplicación, a partir de la cual es obligado el contenido de la norma.
Habitualmente coincide con la fecha de aprobación.
• Norma de cobertura: apartado del código ético o de conducta de donde deriva,
o de la norma
nor ma superior
superior,, en caso de existi
existirr textos intermedios.
177 La nota única de este apartado hace referencia a las grandes variaciones en los contenidos de
la información documentada
doc umentada en virtud de factores muy habituales en la aplicación del principio de
proporcionalidad; por ejemplo: el tamaño de la organización y a su tipo de actividades, procesos ,
productos y servicios, la complejidad de procesos e interacciones, la competencia de las personas
vinculadas con la organización, etc.
178 Aun rigiendo el principio de proporcionalidad, organizacione
organizacioness pequeñas pueden experimentar
problemas a la hora de reflejar documentalmente algunos requisitos, circunstancia a considerar
por el auditor para apuntar una no conformidad
conformi dad en su ejercicio de evaluación de la conformidad.
Véanse también los comentarios en el apartado I.6.1.2 Principio de proporcionalidad
prop orcionalidad , de este libro.

II.7 Apoyo 259
• Normas que sustituye o deroga, en el caso de que deje sin efecto textos anti- anti-
guos. Puede derogar solo una parte del contenido de otros textos, aunque no
es una técnica que favorezca un árbol de políticas
políticas ordenado.
ordenado.
• Normas relacionadas, incluyendo otras que pueden ser útiles a efectos interpretativos
o que son necesarias para su aplicación, o textos que desarrollan sus contenidos.
• Unidad de negocio a la que afecta. Normalmente
Nor malmente aplicarán a toda la organiza-
ción,, pero es posible que sean normas destinadas a cuestiones de compliance
ción compliance
específicas de ciertas unidades de negocio.
• Personal
Personal al
al que afecta, que en normas de amplio espectro será todo el de la
organización,, pero que puede estar limitado al personal
organización personal de
de alguna unidad de
negocio, a ciertas categorías profesionales, etc.
• Responsable principal de la norma, que será el área, la unidad o la función
que debe cuidar por su aplicación y a la que cabe plantear dudas o cuestiones
acerca de su contenido.
Es importante que este cajetín quede unido o asociado con la norma, ya sea en
formato físico o electrónico. Algunas organizaciones
organizaciones reproducen
reproducen en todas las
páginas de sus normas internas (en su cabecera, por ejemplo) algunas de sus
informaciones relevantes, como el título del documento, su número de versión y
su fecha de emisión o aprobación.
No cumplen los requisitos
requisitos de
de identificación aquellos documentos soportados
únicamente en hojas sueltas o ficheros informáticos que generen dudas sobre el
origen y la naturaleza del texto.
II.7.5.3. Control de la información documentada

La inf
inform
ormaci
ación
ón doc
docum
ument
entada
ada debe estar bajo control, de manera que sea localizable, pueda
ser empleada cuando se precise y esté protegida para evitar su pérdida o que se corrompa.
El control de informac
información
ión documentad
documentadaa supone darle la distribución y permitir los
accesos legítimos, garantizar su almacenamiento y preservación, mantener el control
de cambios, de forma que solo puedan introducirlos las personas autorizadas y un
adecuado mantenimiento y custodia. Constituye también un modo de proteger la
labor que desarrolla la función de compliance
compliance. El capítulo 9 Evaluación del desempeño se
refiere a la información documentada que refleja el rendimiento del sistema de gestión y
cuya alteración se quiere evitar incluso cuando es obra de los órganos reportados179.
179 Alterar el contenido de los informes de comp
complian
liance
ce supone una contravención directa a la
independencia de la función que se le reconoce en el apartado 5.1.3 Gobernanza del compliance y
que se explica más detalladamente en el apartado A.5.1.3 La gobernanza del complianc
compliancee del anexo
A (informativo) Guía para el uso de este documento. Sobre este particular, véanse las explicaciones
que recoge el apartado II.5.1.3 Gobernanza del compliance, de este libro.
li bro.


compliance según
A CONSIDERAR.
CONSIDERAR. Transparencia y confidenci
confidencialidad.
alidad.
Aunquee el estánd
Aunqu estándar
ar ISO 3730
37301:2021
1:2021 ci
cite
te el princip
principio
io de transp
transparenc
arencia
ia (véas
(véasee el
eapartado I.6.1.4de
informaciones Principio de transparencia,
transparencia
compliance puedan
compliance , de este libro),
puedan comunicarse no significa
o abrirse li bremente
libremente que alosconsul-
datos
tas, en especial cuando contienen información confidencial, incluyendo, pero no
limitándose, a datos personal
personales es o que pueden afectar a la intimidad de las personas.
A causa
causa de lloo an
anterio
teriorr, eenn compliance
compliance rige
rige el axioma “need
“need to know ”, ”, esto es, solo
deberían facilitarse el acceso a datos e informaciones de compliance compliance a a aquellos
sujetos que los precisen y que estén legitimados para recibirlos. En algunos casos,
puede ser el personal
personal en en su conjunto (es el caso de la política de compliance
compliance,, por
ejemplo), pero, en otros supuestos, el acceso puede estar restringido (es el caso,
por ejemplo, del documento que recoja la evaluación
evalu ación de riesgos de de compliance
compliance,, las
investigaciones o los informes de compliance
compliance).). Los datos e informaciones relacionadas
con los canales para el planteamiento de inquietudes son también ejemplos muy
evidentes de información sensible en extremo y eventualmente protegida por Ley.
Por consiguiente, se trata de garantizar que solo acceden a los datos e informa-
compliance quienes
quienes lo necesitan realmente y disponen de la legitimidad
(autorización) pertinente, sin que esta puesta a disposición pueda suponer la
pérdida de trazabilidad (conocer quién accede a ella) y atentar contra su integri-
dad (por la eventual alteración de su contenido, corrupción del fichero, fi chero, etc.). Por
aplicación del principio de subordinación a Ley (véase el apartado I.6.2.1 Princi-
pio de subordinación a Ley, Ley, de este libro), la información
infor mación documentada debería
considerar las medidas de protección tanto físicas como lógicas exigidas por el
marco jurídico vigente. Es una circunstancia a tener especialmente en cuenta en
materia de protección de datos personal personales.
es.
Es muy interesante la desaparición de la mención del estándar ISO 19600:2014 según

la cual la información document
documentada
ada podría ser preparada para que tuviese la calificación
de asesoramiento legal y disfrutase del “ legal privilege”. Era, sin duda, una reflexión
inquietante habida cuenta que:
(i) La norma no vinculaba el compliance con la defensa jurídica de la orga-
nización ni con cualquier otro cometido que precisara de privilegio180.
(ii) No parecía
parecía coherente
coherente con un entorno colaborativo con las autoridades,
autoridades,
sobre compliance.
alineado con la filosofía de los estándares sobre

Guia Practica Compliance 37301 Compress

Cargado por

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Guia Practica Compliance 37301 Compress

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Practica Compliance 37301 Compress

Cargado por

Copyright:

Formatos disponibles

Guía práctica de compliance

Este documento ha sido adquirido

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Alain Casanovas Ysla

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Título: Guía práctica de compliance según la Norma ISO 37301:2021. PDF

© AENOR Internacional, S.A.U., 2021

Edita: AENOR Internacional, S.A.U.

Génova, 6. 28004 Madrid

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Dedicado a la comunidad de compliance

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

10 Guía práctica de compliance

I.6.1.3. Principio de integridad

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

II.5.3. Roles, responsab

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

12 Guía práctica de compliance

II.7.2.2. Proceso de empleo

II.7.5. Información documentada.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Los principios sobre los que se fundamenta la credibilidad y confianza de la activi-

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

14 Guía práctica de compliance

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Confío en que tanto la norma, como este libro,

Asociación Española de Normalización, UNE

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

18 Guía práctica de compliance

la curva de madurez de las organizaciones lleva a poner medios para la prevención,

Responsabilidad frente a la comunidad de compliance

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Sin perjuicio de lo anterior y a efectos didácticos, a lo largo de este libro me refiero

Mis deseos respecto a este libro

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Los términos redactados en letra cursiva

1 La HLS regula en el documento ISO/IEC Directives-P

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

COSO: Committee of Sponsoring Organizations (of the T

IEC: International Electrotechnical Commission

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

I.1.1. El estándar AS 3806:2006

compliance una fuerte legitimidad: Australian Competition aand nd Consume

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.

26 Guía práctica de compliance

Esta norma brindaba principios para desarrollar y mantener programas de compliance

I.1.2. El estándar ISO 19600:2014

la creación del AS 3806:2006. También ha presidido la Inte Internat

Sídney, Australia, siendo Austra

objeto de certificación. En el momento de inici iniciar

Este documento ha sido adquirido por AUDITORES ASOCIADOS DE MEXICO S. C. el 2022-8-4.