Implementación del Sistema de Gestión ISO 37001 – Guía completa

Identificar y comprender el contexto de la organización, obtener el apoyo de la Alta Dirección, establecer objetivos, redactar políticas, planificar, evaluar, controlar y auditar,
son tareas comunes a cualquier proyecto de implementación de un Sistema de Gestión.

La implementación del Sistema de Gestión ISO 37001 no es ajena a ellas. Pero estas tareas no se pueden emprender sin ningún orden y sin observar un plan de trabajo. El
modelo PDCA – Planear, Hacer, Verificar y Actuar – es la forma ideal para acometer la tarea.
Así es que con base en este modelo, desarrollamos nuestra guía.

Fase 1 Planificación
En esta etapa, la organización adopta un enfoque para la implementación del Sistema de Gestión ISO 37001 y un marco metodológico para adelantar el trabajo, con base en
las mejores prácticas propuestas por el estándar, siguiendo estos pasos:

Comprender el contexto de la organización

Se identifican los factores internos y externos que pueden afectar la capacidad para alcanzar los objetivos del Sistema. Establecer el contexto permitirá a la organización, de
paso, identificar objetivos, mismos que deben alienarse con la estrategia de negocios.

Análisis de brechas

Algunas organizaciones habrán implementado medidas para prevenir los riesgos de soborno y corrupción. El objetivo del análisis de brechas es establecer el nivel de
cumplimiento inicial, con respecto a los requisitos de ISO 37001. Esto implica evaluar el nivel de madurez y la efectividad de lo poco o mucho que se haya hecho en
materia de procesos para prevenir el soborno y la corrupción.
Liderazgo de la Alta Dirección

Hasta este punto, el proyecto ha estado en manos de profesionales especializados en el área, o de los interesados en él. Pero, para avanzar, y porque es requisito de ISO
37001, es preciso obtener el liderazgo, la aprobación y el compromiso de la Alta Dirección.
Alcance del Sistema

Con base en el contexto de la organización, definimos el alcance del Sistema, lo que incluye determinar recursos tecnológicos y físicos.

Política anti soborno

Aunque la redacción y la comunicación de la política anti corrupción es una tarea asignada a la Alta Dirección, en la práctica es un trabajo en el que intervienen profesionales
y empleados a los que se les asignan responsabilidades dentro del Sistema. Para ello, es preciso tener en cuenta los objetivos, y las regulaciones que apliquen
sobre soborno, fraude y corrupción.
Evaluación de riesgos

Se utilizan matrices y modelos de evaluación de riesgos, para identificar, categorizar y priorizar amenazas. Es una tarea que podría encargarse a profesionales expertos en
Gestión de Riesgos.

Establecimiento de controles

Se diseñan y establecen controles que prevengan la ocurrencia de actos de corrupción, y garanticen el logro de los objetivos del Sistema.

Fase 2 Hacer
En esta etapa se ejecuta lo planificado en la primera fase. Es esta la etapa de implementación práctica. Es muy importante ceñirse a lo planificado y cuidar siempre que
se alcance la conformidad con los requisitos de la norma:
Estructura organizativa

El Sistema requiere una estructura organizativa eficaz y ágil para lucha contra el soborno y la corrupción. Esto implica asignar la responsabilidad de la dirección del sistema a
un profesional idóneo para desempeñar tal posición. Igualmente es preciso definir y asignar otras responsabilidades, involucrar a las partes interesadas y nombrar comités
para realizar tareas clave.
Gestión de documentos

Los Sistemas de Gestión tienen una alta carga documental. Además de garantizar la producción de los documentos necesarios, es preciso asegurar procedimientos que
permitan la comunicación oportuna de ellos, la disponibilidad, el almacenamiento seguro y el control de versiones, entre otros factores. Este punto, como otros que
abordaremos en adelante, requerirá el uso de herramientas tecnológicas adecuadas, diseñadas con tal propósito.
Gestión de operaciones

Se integran los requisitos y los procesos de ISO 37001 en los proceso de operación de la organización, en todas las áreas. Se consideran en este punto los recursos
humanos, tecnológicos y financieros que requerirá el mantenimiento del Sistema a largo plazo.

Capacitación y concientización

Algunos, muchos o todos los empleados que reciban responsabilidades dentro del Sistema, requerirán formación y capacitación. Empleados clave, aunque no tengan
responsabilidades, también necesitarán pasar por un proceso de concientización y capacitación. Es el caso de los profesionales en el área de adquisiciones, área
financiera o área comercial.
Comunicación
El objetivo es concientizar a todos los empleados, en todos los niveles, incluido Alta Dirección, sobre la importancia de prevenir el soborno y la corrupción. Así mismo, todos
los empleados deben conocer el Sistema, las políticas, y las acciones implementadas para prevenir y tratar riesgos.

Fase 3 Verificar
Se comprueba la efectividad de todo el trabajo hecho hasta el momento, utilizando tres herramientas de evaluación y verificación:

Monitoreo y medición

Se basa en indicadores o KPI establecidos con anterioridad. La disminución o aumento de las denuncias, por ejemplo, es uno de estos indicadores. El propósito es
establecer si el Sistema funciona o no, y hasta qué punto se han alcanzado los objetivos propuestos.
Revisión de la Alta Dirección

La Alta Dirección debe realizar revisiones del Sistema, periódicas y metódicas, pero sobre todo independientes, con el fin de establecer la eficacia y eficiencia del trabajo
efectuado hasta ahora.

Auditoría interna

Los informes que se obtienen con las herramientas de monitoreo y medición son cuantitativos. La revisión de la Alta Dirección adopta un enfoque cualitativo. La auditoría
interna ofrece una visión total, que se expresa en la conformidad o no con los requisitos del estándar ISO 37001. Las opciones son solo dos: se cumple o no se cumple. En el
primer caso, todo está bien. En el segundo, tenemos la información para avanzar a la cuarta fase, y, así, cumplir con otro requisito: la mejora continua.

Fase 4 Actuar
Aquí tomamos acciones para solucionar los problemas encontrados en la etapa de verificación:

Gestionar las no conformidades

Los auditores internos pueden sugerir las acciones requeridas para eliminar una no conformidad. En otros casos, esto puede requerir una investigación para encontrar la
causa raíz. De una u otra manera, el objetivo es llegar a la mejora continua.
Mejora continua

El resultado final, al cierre del ciclo, debe ser alcanzar la mejora continua. El ciclo inicia nuevamente, desde la fase de planificación, una y otra vez. El Sistema será más
eficaz al finalizar cada ciclo.
Implementación del Sistema de Gestión ISO 37001 – Guía completa
Identificar y comprender el contexto de la organización, obtener el apoyo de la Alta Dirección, establecer objetivos, redactar políticas, planificar, evaluar, controlar y auditar,
son tareas comunes a cualquier proyecto de implementación de un Sistema de Gestión.

La implementación del Sistema de Gestión ISO 37001 no es ajena a ellas. Pero estas tareas no se pueden emprender sin ningún orden y sin observar un plan de trabajo. El
modelo PDCA – Planear, Hacer, Verificar y Actuar – es la forma ideal para acometer la tarea.
Así es que con base en este modelo, desarrollamos nuestra guía.

Fase 1 Planificación
 Comprender el contexto de la organización
 Análisis de riesgos y oportunidades
 Liderazgo de la Alta Dirección
 Alcance del Sistema
 Política anti soborno
 Evaluación de riesgos
 Establecimiento de controles

Fase 2 Hacer
 Estructura organizativa
 Gestión de documentos
 Gestión de operaciones
 Capacitación y concientización
 Comunicación.

Fase 3 Verificar
 Monitoreo y medición
 Revisión de la Alta Dirección
 Auditoría interna

Fase 4 Actuar
 Gestionar las no conformidades
 Mejora continua