La organización debe identificar las obligaciones de cumplimiento por departamentos, funciones y diferentes tipos de actividades organizacionales para determinar quién se ve afectado por estas obligaciones de cumplimiento.
Desde la norma antecesora AS 3006:2006, luego el ISO 19600:2014, para implementar un sistema de gestión eficaz en materia de Compliance, se contemplan 2 tipos de obligaciones:
- Las obligaciones de cumplimiento obligatorio
Son requisitos legales o normativos que son promulgados y aplicados por las autoridades gubernamentales, estatales o locales. Ejemplo: Los requisitos para obtener un permiso ambiental o la forma almacenamiento de productos químicos inflamables.
- Las obligaciones de cumplimiento voluntario
Son otros requisitos que la organización puede suscribir como producto de sus actividades y operaciones, tales como requisitos organizacionales (políticas o directrices administrativas), acuerdos con clientes (términos de referencia, especificaciones técnicas), pautas voluntarias no regulatorias y convenios con grupos comunitarios y gremios comerciales.
Ambas obligaciones se encuentran incluidas en los términos y definiciones de la norma ISO 37301:2021, por ello se le otorga ambas el mismo valor y por ende se deben procurar cumplir dentro de las organizaciones. La función de compliance es considerar que ambos compromisos voluntarios asumidos no tienen rango inferior los compromisos obligatorios.
Es por ello que para el estándar ISO 37301: 2021 contiene la misma aproximación con un enfoque de simplificación, es decir, en lugar de definir por separado las obligaciones de compliance, mas bien las integra incluyendo su propia definición. (Apartado A.4.5 Obligaciones de compliance del anexo A). donde se incluyen ejemplos que corresponden a ambas categorías.
Los requisitos que una organización debe cumplir obligatoriamente pueden incluir:
✅ Leyes y reglamentos.
✅ Permisos, licencias u otras formas de autorización.
✅ Órdenes, reglas u orientaciones emitidas por organismos reguladores.
✅ Sentencias de juzgados o tribunales administrativos.
✅ Tratados, convenios y protocolos.
Los requisitos que una organización elige cumplir voluntariamente pueden incluir:
✅ Acuerdos con grupos comunitarios u organizaciones no gubernamentales.
✅ Acuerdos con autoridades públicas y clientes.
✅ Requisitos organizacionales, tales como políticas y procedimientos.
✅ Principios voluntarios o códigos de práctica.
✅ Etiquetado voluntario o compromisos medioambientales.
✅ Obligaciones derivadas de arreglos contractuales con la organización.
✅ Estándares organizacionales y de la industria relevantes.
La organización debe identificar las obligaciones de cumplimiento por departamentos, funciones y diferentes tipos de actividades organizacionales para determinar quién se ve afectado por estas obligaciones de cumplimiento.
Los procesos para obtener información sobre cambios en las leyes y otras obligaciones de cumplimiento pueden incluir:
✅ Estar en las listas de correo de los reguladores relevantes.
✅ Pertenencia a grupos profesionales.
✅ Suscribirse a los servicios de información pertinentes.
✅ Asistir a foros y seminarios de la industria.
✅ Monitorear los sitios web de los reguladores.
✅ Reunión con los reguladores.
✅ Arreglos con asesores legales.
✅ Monitorear las fuentes de las obligaciones de cumplimiento (por ejemplo, pronunciamientos regulatorios, decisiones judiciales).
Dentro de los sistemas de gestión, el cumplimiento de “obligaciones de compliance” no es solo un resultado al azar, sino es el resultado de un proceso constante impulsado y mantenido por la organización. Identificar las obligaciones que afectan a la organización serán las que guarden relación con sus principales riesgos, es decir los grupos de normas cuyo incumplimiento expone a la organización.
Conocer las obligaciones de compliance que afectan a la organización es esencial y mapear los riesgos que pueden ocasionar su incumplimiento por ello que tanto las obligaciones como la evaluación de riesgos deben obedecer la misma lógica.
