I.1. Antecedentes
Los estándares sobre compliance ISO 37001:2016 (véase su apartado 8.9 Planteamiento de inquietudes) e ISO 37301:2021 (véase su apartado 8.3 Planteamiento de inquietudes) hacen referencia a los procedimientos para el planteamiento de inquietudes, incluyendo una regulación básica acerca de su finalidad y características, pero sin desarrollar el modo de gestionarlas ni entrar en detalles procedimentales. Aunque somero, este tratamiento supera con mucho los rudimentos contemplados en el antiguo estándar ISO 19600:2014, la primera norma internacional de ISO sobre compliance.
Aunque tratan en alguna medida esta materia, no puede decirse que estas normas constituyan los antecedentes del estándar ISO 37002:2021, pues este no versa realmente sobre compliance. Sin embargo, su conexión con dichos estándares es estrecha por diferentes motivos:
• Muchos de los expertos que participaron en su elaboración dentro del WG 3 del ISO/TC 309 no solo conocían estas normas previas, sino que formaron parte de los antiguos ISO/PC 271 Compliance management systems e ISO/PC 278 Anti-bribery management systems que se ocuparon de su redacción.
• El propio estándar ISO 37002:2021 se refiere explícitamente al compliance cuando menciona: (i) la importancia de considerar los riesgos de compliance, en su apartado 4.3 Determinación del alcance del sistema de gestión de la denuncia de irregularidades; (ii) la necesidad de informar a la función de compliance, en el párrafo e) de su apartado 5.3.2 Función de gestión de la denuncia de irregularidades; (iii) la conveniencia de coordinarse con la función de compliance, en el apartado 6.1 Acciones para abordar riesgos y oportunidades; (iv) la conveniencia también de dar formación sobre los riesgos de compliance, en su apartado 7.3.2 Medidas de formación y toma de conciencia del personal; (v) al considerar los medios para la recepción de denuncias susceptibles de llegar a la función de compliance, en su apartado 8.2 Recepción de denuncias de irregularidades; o (vi) la eventual involucración de la función de compliance en la investigación de las irregularidades, en el párrafo a) del apartado 8.3.1 Evaluación de la irregularidad denunciada.
• En la definición 3.10 Denuncia de irregularidades, se aclara que puede ser equivalente a otros términos empleados por las organizaciones, incluyendo el de “plantear inquietudes”, que es precisamente el que utilizan los estándares ISO 37001:2016 e ISO 37301:2021. Además, el estándar ISO 37002:2021 igualmente cita el “planteamiento de inquietudes” en algunas ocasiones.
Por lo tanto, aunque ninguno de los estándares previos de la serie ISO 37000 pueden considerarse antecedentes del estándar ISO 37002:2021, es evidente su influencia sobre esta norma. Por ello, resulta útil para completar o interpretar sus contenidos, aunque también puede operar en contextos no relacionados con ellos. Debido a todo lo anterior, se comprende la conveniencia de comparar sucintamente los contenidos de la norma con dichos estándares de compliance, al comienzo de los capítulos de la Parte II de este libro.
I.2. La HS de ISO
Desde mayo de 2021 la “estructura armonizada” (Harmonized Structure, HS) de ISO sustituye la antigua “estructura de alto nivel” (High Level Structure, HLS) también de ISO. El estándar ISO 37002:2021, publicado en julio de 2021, es el primer sistema de gestión de la serie 37000 que la utiliza.
El Grupo ISO de coordinación técnica sobre sistemas de gestión (Joint Technical Coordination Group, JTCG), creado en el año 2007, publicó en 2012 la llamada HLS para que los estándares sobre sistemas de gestión (Management System Standards, MSS) elaborados por dicha organización tuvieran una estructura común, así como unas definiciones y contenidos básicos equiparables. Tras publicarse 48 sistemas de gestión ISO basados en la HLS, desde el año 2018 se trabajó en su actualización, resultando en el año 2021 la HS que conlleva una mejora de contenidos. Precisará la revisión y adaptación de estándares publicados hasta la fecha y se aplicará directamente a los de nueva creación. A fin de mantener su contenido actualizado, los sistemas de gestión ISO son objeto de revisión en un periodo máximo de 5 años. Esto supone que su adaptación a la HS no tiene qu...